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过 去 的 一 年 ， 在 网 络 威胁 (Cyber Threat) 
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军事 领域 被 视 为 信息 作战 的 核心 能 力 之 一 ， 划 
络 攻 击 CCNA) 、 网 络 防御 CCNDO 和 网 络 利用 (CNE) 组 成 。 过 去 我 们 
讨论 的 更 多 的 APT 威胁 都 属于 CNE 范畴 ， 其 主要 的 意图 
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恩 化 和 智能 化 ， 导 致 一 旦 
其 不 仅仅 是 面临 财产 的 损失 ， 而 且 对 社会 和 民生 造成 极 大 的 影 
A 所 造成 的 影响 和 现象 是 明显 的 ， 其 类 似 于 现代 军事 行动 具备 
围 就 能 达到 行动 目标 ， 而 实施 CNA 的 基础 则 在 于 对 潜在 
的 了 解 程度 和 网 络 武器 的 装备 化 ， 所 以 其 往往 依赖 于 历史 的 网 络 利 用 活动 ， 
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过 去 ， 我 们 在 分 析 、 发 现 、 识 别 和 跟踪 网 络 
攻击 的 战术 技术 特点 ， 以 及 总 结 和 归纳 其 攻击 来 源 和 攻 ; 


关注 了 


PA 
Es. 


法 和 变 1 
去 我 们 对 APT 
现在 对 手 的 策 


3 从 了 


胁 的 归 因 分 析 开 
网 的 流量 劫持 ， 


j。 像 震 网 事件 、 马 殉 兰 停电 事件 、WannaCry 爆发 都 是 较 
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威胁 的 研究 基础 ，APT 威胁 正在 变 得 更 加 复杂 化 ， 划 
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重 对 自身 的 操作 安全 (COPSEC ) ， 


通过 隐藏 、 伪 装 、 误 时、 模仿 的 方式 减少 留 下 自身 的 行为 指纹 ， 对 APT 威 


基础 设施 劫持 ， 供 应 链 攻 了 
更 广 维度 的 数据 来 源 和 元 数据 类 型 。 


球 高 级 持续 性 威胁 的 研究 总 
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导致 对 于 APT 威胁 分 析 


结 报告 中 对 近 一 年 内 全 球 


APT 威胁 活动 和 APT 研究 成 果 的 分 析 和 总 结 ， 并 提出 我 们 对 APT 威胁 的 变 


化 趋势 的 看 法 。 


也 寄 希 望 于 对 业内 的 APT 研究 和 防 和 


提供 一 些 基础 性 思路 。 


概 要 


结合 2019 年 全 年 高 级 持续 性 威胁 活动 情况 来 看 ， 我 们 认为 近 一 年 来 
高 级 威胁 活动 呈现 出 如 下 的 趋势 。 


m 2019 年 ， 奇 安信 威胁 情报 中 心 收录 了 高 级 威胁 类 公开 报告 总 共 596 
篇 ， 其 中 涉及 了 136 个 命名 的 攻击 组 织 或 攻击 行动 , 被 认为 活跃 在 东 
亚 半岛 范围 的 3 I APT 组 织 被 披露 的 频率 最 高 。 政 府 、 防 务 行 业 的 目 
标 依然 是 APT 威胁 的 主要 目标 , 而 不 可 忽视 的 是 , 能 源 和 通信 行业 也 
已 经 成 为 APT 威胁 的 重要 针对 对 象 。 


m ”在 此 次 报告 中 ,我 们 依然 围绕 地 缘 特 征 总 结 了 6 大 地 区 总 共 22 个 APT 
组 织 在 近 一 年 的 攻击 活动 情况 以 及 使 用 的 主要 攻击 工具 。 按 照 地 缘 特 
征 划分 来 研究 APT 威胁 活动 : 一 方面 是 因为 按 地 域 划分 下 其 通常 拥有 
较为 相似 的 地 缘 政 治 因素 , 导致 APT 活动 和 APT 组 织 的 意图 和 动机 具 
备 相似 性 和 可 比 性 ; 另 一 方面 也 是 为 了 在 归 因 困难 和 攻击 TTP 出 现 重 
登 的 情况 下 ， 对 同一 地 域 范围 的 威胁 活动 进行 类 比分 析 。 


m 在 报告 中 ， 我 们 也 从 行业 视角 分 析 了 针对 金融 、 能 源 和 电信 行业 在 

2019 年 面临 的 高 级 威胁 问题 ， 并 且 总 结 了 一 年 来 主要 的 攻击 组 织 和 
攻击 活动 。 我 们 也 认为 未 来 APT 类 威胁 活动 可 能 会 更 多 的 扩展 到 金 
融 、 能 源 和 电信 行业 ， 并 且 更 具有 针对 性 。 


E ”在 文中 我 们 也 总 结 了 全 年 公开 披露 的 在 野 0day 攻击 情况 ， 无 论 从 披 

露 的 在 野 漏洞 攻击 案例 还 是 利用 0day 漏洞 的 攻击 组 织 数 量 都 较 去 年 
有 所 增长 。 在 漏洞 类 型 上 ， 未 发 现 公开 披露 新 的 文档 类 Oday 漏洞 案 
例 , 而 针对 PC 和 移动 终端 的 浏览 器 的 完整 漏洞 利用 链 数 量 大 大 增加 。 


m 我们 在 此 次 的 报告 中 也 讨论 了 网 络 攻击 造成 的 破坏 性 影响 以 及 疑似 
网 络 战 相关 的 活动 , 我 们 也 认为 网 络 攻击 破坏 活动 相对 于 军事 行动 来 
说 ， 更 加 具有 隐蔽 性 和 溯源 难 的 特点 ， 从 而 攻击 源头 可 以 进行 否认 。 
由 此 可 以 预见 未 来 网 络 攻击 破坏 活动 可 能 更 加 频繁 。 
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研究 方法 


在 此 报告 的 开始 ， 我 们 列举 了 本 研究 报告 所 依赖 的 资料 来 源 与 研究 
方法 ， 其 中 主要 包括 : 


内 部 和 外 部 的 情报 来 源 , 其 中 内 部 的 情报 来 源 包括 奇 安信 威胁 情报 中 


心 旗下 红 雨 滴 团队 对 APT 威胁 
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威胁 分 析 中 易于 观测 到 的 阶段 


进行 简化 和 合并 : 筹备 阶段 、 攻 击 入 口 


和 立足 阶段 、 持 和 久 化 维持 和 横向 移动 阶段 、 命 令 控制 和 数据 渗 出 阶段 。 
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第 一 章 全球 高 级 持续 性 威胁 趋势 


奇 安信 威胁 情报 中 心 在 2018 年 的 全 球 高 级 威胁 总 结 报告 中 就 基于 公开 
来 源 APT 情报 的 收集 数据 对 APT. 威胁 趋势 进行 图 表 可 视 化 展示 。 在 2019 年 
的 总 结 报告 中 ， 我 们 沿用 了 相同 的 方式 。 本 章 内 容 是 基于 奇 安信 威胁 情报 中 
心 对 200 多 个 主要 发 布 APT 类 情报 来 源 渠 道 的 数据 收集 、 统 计 和 分 析 结 果 ， 
其 中 包括 但 不 限于 以 下 类 型 : 


APT 攻击 团伙 报告 、APT 攻击 行动 报告 、 疑 似 APT 的 定向 攻击 事件 、 和 
APT 攻击 相关 的 恶意 代码 和 漏洞 分 析 ， 以 及 我 们 认为 需要 关注 的 网 络 犯 罪 团 
伙 及 其 相关 活动 。 


国内 外 安全 厂商 、 安 全 研究 人 员 通 常会 对 高 级 持续 性 威胁 活动 涉及 的 攻 
击 团伙、 攻击 活动 进行 命名 ， 并 以 “Actor / Group / Gang” 等 对 威胁 背后 的 
攻击 者 进行 称谓 ， 其 中 包括 了 明确 的 APT 组 织 ， 明 确 的 网 络 犯罪 团伙 ， 以 及 
暂时 不 太 明 确 攻击 者 信息 的 攻击 活动 命名 。 


不 同 的 安全 广 商 有 时 候 会 对 同一 背景 来 源 的 威胁 进行 不 同 的 别名 命名 ， 
这 取决 于 其 内 部 在 最 早 跟踪 威胁 活动 时 的 命名 约定 ， 所 以 往往 需要 根据 威胁 
攻击 的 同一 来 源 进行 归 类 。 

我 们 结合 上 述说 明 对 自身 收集 渠道 收集 的 公开 报告 内 容 进行 分 析 ， 并 从 
公开 披露 的 信息 中 公布 2019 年 全 球 高 级 持续 性 威胁 的 态势 情况 。 


一 、 数量 和 来 源 


奇 安信 威胁 情报 中 心 在 2019 年 监测 到 的 高 级 持续 性 威胁 相关 公开 报告 
总 共 596 篇 。 


2019 年 每 月 公开 的 高 级 威胁 报告 数量 统计 
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从 公开 报告 的 发 布 渠道 统计 来 看 ， 韩 国安 全 厂商 ESTsecurity 发 布 了 最 


多 的 高 级 威胁 类 报告 , 不 过 其 披露 的 主要 为 针对 韩国 本 土 目标 的 攻击 组 织 和 
攻击 行动 。 除 此 以 外 , 像 奇 安信 、Kaspersky、 FireEye、 Palo Alto Networks 
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和 腾讯 等 依然 保持 着 较 高 的 高 级 威胁 的 跟踪 、 分 析 和 披露 ， 并 且 跟 踪 和 披露 
全 球 范围 内 的 多 个 APT 组 织 和 攻击 行动 。 


2019 年 国内 外 安全 厂商 披露 高 级 威胁 类 报告 及 相关 组 织 情况 统计 
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二 、 受害 目标 的 行业 与 地 域 


从 公开 披露 的 高 级 威胁 活动 中 涉及 目标 行业 情况 来 看 〈 摘 录 自 公开 报告 
中 提 到 的 攻击 目标 所 属 行业 标签 )， 政 府 ( 包 括 外 交 、 政 和 党、 选举 相关 ) 和 
军事 (包括 军事 、 军 工 、 国 防 相 关 ) 依然 是 APT 威胁 的 主要 目标 , 能源 ( 包 
括 石油 、 天 然 气 、 电 力 、 民 用 核 工业 等 ) 、 通 信行 业 也 是 APT 攻击 的 重点 威 
胁 对 象 。 


由 于 更 加 组 织 化 的 网 络 犯罪 团伙 的 活跃 活动 ， 导 致 金融 (包括 银行 、 证 
券 、 数 字 货 币 等 ) 和 零售 (电子 商务 、 和 餐饮 等 ) 行业 所 面临 的 高 级 威胁 现象 
越发 严峻 。 


2019 年 公开 高 级 威胁 事件 报告 涉及 行业 分 布 情况 
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政府 24.5% 


科技 4.3% 


医疗 4.3% 
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高 级 威胁 活动 涉及 目标 的 国家 和 地 域 分 布 情况 统计 如 下 图 (摘录 自 公 开 
报告 中 提 到 的 受害 目标 所 属国 家 或 地 域 ) ， 可 以 看 到 高 级 威胁 攻击 活动 几乎 
覆盖 了 全 球 绝 大 部 分 国家 和 区 域 。 


2019 年 公开 披露 的 高 级 威胁 活动 针对 的 国家 和 地 区 


三 、 活跃 的 威胁 攻击 者 


进一步 对 公开 报告 中 高 级 威胁 活动 中 命名 的 攻击 行动 名 称 、 攻 击 者 名 称 ， 
并 对 同一 背景 来 源 进行 归 类 处 理 后 的 统计 情况 如 下 ， 总 共 涉 及 136 个 命名 的 
威 肋 来源 命名 ， 较 2018 年 数量 有 所 增长 。 
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2019 年 公开 披露 的 高 级 威胁 类 攻击 组 织 和 行动 


我 们 也 统计 了 2019 年 公开 披露 最 多 的 APT 组 织 ， 跟 2018 年 相 比 ， 疑 似 
来 自 东 北 亚 某 地 的 Lazarus Group, Kimsuky 和 Group 123 =^ APT 组 织 被 
频繁 曝光 。 
2019 年 主要 APT 组 织 相关 报告 数量 统计 
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Se ”地 缘 下 的 APT 组 织 、 活 动 和 趋势 


一 、 地 缘 下 的 活跃 APT 组 织 


从 2018 年 中 的 APT 威胁 总 结 报告 中 ， 我 们 就 开始 从 地 缘 划 分 的 角度 来 
研究 APT 组 织 活动 , 一 方面 往往 由 于 在 同一 地 域 范围 的 APT 组 织 和 APT 活动 
常常 出 现 一 些 重合 ， 其 可 能 针对 相似 的 攻击 目标 或 者 使 用 类 似 的 TTP。 男 一 
方面 ， 按 地 域 划 分 下 其 拥有 相似 的 地 缘 政 治 因 素 ， 导 致 APT 活动 和 APT 组 织 
的 意图 和 动机 具备 相似 性 和 可 比 性 ， 即 使 是 两 个 完全 不 同 背 景 的 APT 组 织 。 


我 们 在 下 表 中 列举 了 2019 年 主要 活跃 的 APT 组 织 ， 全 球 主要 APT 组 织 
列表 也 可 以 参见 附录 4。 


APT 组 织 攻击 能 力 | 
APT28 +++ 
APT29 t 


Turla Tek 
Gamaredon 


APT 组 织 攻击 能 力 


| Lazarus Group 十 十 
Group 123/APT37 ++ 


APT 组 织 ”攻击 能 力 


HRE AB 
Regin SES 


攻击 能 力 


MuddyWater * 

APT34/ OilRig 十 十 
APT33 ++ 
Stealth Falcon/ FruityArmor + + APT 组 织 攻击 能 力 


SandCat 十 十 
十 十 
E 海 莲 花 / APT32 


APT 组 织 


APT 组 织 E 
Longhorn 中 中 也 


备注 ; 


攻击 能 力 级 别 
攻击 框架 和 丰富 0day 漏 洞 攻 击 资源 。 APT 组 织 攻击 能 力 N 
J 用 和 攻击 技术 ， 攻 击 
能 力 ， 缺 乏 完备 的 自制 攻击 工具 或 攻击 不 活跃 Bim +t 
暮 灵 花 / BITTER 十 


肚 脑 虫 /Donot Team + 
响尾蛇 / SideWinder ++ H 


圆圈 大 小 
代表 地 缘 性 APT 组 织 近年 来 活跃 频 度 ， 主 要 根据 公开 披露 事件 和 攻击 活动 。 


图 例 
疑似 地 域 归属 C 未知 地 域 归属 


Kimsuky * 
Darkhotel tt 
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(一 ) 东亚 


Lazarus Group. Kimsuky 和 Group 123 是 2019 年 公开 披露 最 多 ,被 指 源 自 东 北 亚 某 地 的 APT 
组 织 ， 其 中 ，Lazarus Group 作为 该 地 区 最 为 活跃 的 APT 组 织 ， 其 目标 是 全 球 性 的 。 我 们 整理 了 


上 述 3 个 APT 组 织 在 最 近 一 年 来 被 披露 的 攻击 活动 。 
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HRA: 2019/12/04 伪装 执 点 事件 : SIAS A 
REND: 2019/11/11 针对 平台 : Android 攻击 目标 : MAREE © 
披 圳 时间: 2019/10/31 目标 地 域 : 印度 目标 行业 : 核电 厂 
HRR: 2019/10/28 针对 平台 : Windows I 中 韩 贸易 人 员 e 
印度 银行 (9 
e 


Windows/Android 攻击 目标 ， 朝鲜 难民 © 


HE: 2019/0941 伪装 


披露 时 间 : 2019/08/05 $ 


HRD: 2019/07/02 HFS: Windows 放 击 目标 ,韩国 安全 统一 中 心 /韩国 自由 党 hie 


披 圳 时间: 2019/07/02 目标 地 域 : 韩国 


HÆ: 2019/04/22 针对 平台 : Windows 攻击 目标 :韩国 统一 部 


LG 时 间 : 2019/03/26 目标 地 域 ， 以色列 目标 行业 : 国防 
E] vn ess Ge, vn Dr, zm 
© esu, 2019/03/04 目标 地 域 : 全 球 目标 行业 : 国防 /政府 


E: 2019/02/21 伪装 热点 事件 ， 朝 美 河内 圆桌 会 议 


辣 ，2019/02/19 目标 地 域 , 俄罗斯 


时 间 : 2019/01/30 ”目标 地 域 : 韩国 


时 间 : 2019/01/20 针对 平台 : Windows KEER: 韩国 统一 部 


时 间 : 2019/01/13 针对 平台 : Windows HERH: 朝鲜 叛逃 者 
时 间 : 2019/0140 伪装 热点 事件 ， 朝 韩 经 济 合作 


pA] 披露 时 间 : 2019/01/03 伪装 热点 事件 ， 朝 鲜 新 年 
| L | L 1 L 1 1 L J 


KP af ai ail oi ol af af off af al off oP oli ai dl ao^ 
Pos erf Bio Pos Bio S? Be PS Bio qv Bio POR B? Bio qv B? KE 
(攻击 活动 时 间 范 围 ) 

E EE APTA: Lazarus Group ll APT 组 织 : Group 123 W APT 组 织 : Kimsuky DA 攻击 活动 时 间 范 围 © 披露 时 间 


Lazarus Group 一 直 被 安全 厂商 作为 疑似 来 自 东北 亚 某国 的 APT. 活动 归 
属 总 称 ， 个 别 国外 安全 厂商 也 将 其 针对 金融 、 银 行 行业 的 攻击 归属 作为 一 个 
子 组 织 来 跟踪 。 从 其 2019 年 被 披露 的 攻击 活动 来 看 ， 仍 旧 针 对 全 球 性 的 金 
融 、 银 行 、 数 字 货 币 交易 、 政 府 、 国 防 实施 网 络 攻 击 活动 。 


SE, Lazarus 组 织 被 发 现 攻击 了 印度 的 核电 三， 结合 公开 情报 其 并 未 
进入 到 OT 网 络 中 ， 虽 然 不 明确 其 攻击 印度 以 及 印度 核 工业 的 意图 何在 ， 但 
是 我 们 可 以 合理 推测 核电 广 的 攻击 意图 并 不 在 于 进行 网 络 破坏 ， 其 一 方面 可 
能 希望 收集 和 获得 核 工 业 相 关 的 情报 ， 另 一 方面 可 能 在 于 测试 和 演练 对 于 工 
业 领 域 的 入 侵 活动 。 


Lazarus 组 织 也 被 发 现 其 利用 定制 化 TrickBot 分 发 其 后 门 程 序 的 技术 
手段 ， 这 是 首次 发 现 该 组 织 开 始 利用 网 络 犯罪 工具 列 入 到 其 攻击 武器 库 中 。 
虽然 不 明确 该 TrickBot Anchor 是 否 通过 市 场 交 易 的 方式 获得 ， 但 显然 的 是 
该 组 织 的 TTP《〈 即 攻击 的 战术 、 技 术 和 过 程 ) 正在 发 生变 化 。 


Lazarus 作为 最 为 古老 的 APT 组 织 之 一 ， 其 开发 和 拥有 一 套 完 备 的 攻击 
TAE, FRIJ T Lazarus 组 织 常用 的 网 络 武器 库 。 
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攻击 工具 名 称 功能 说 明 


Rising Sun 第 二 阶段 植 入 物 ， 由 Duuzer 后 门 演化 的 新 渗透 框架 
KEYMARBLE RAT 工 具 ， 使 用 伪 TLS 通 信 
HOPLIGHT 木马 ， 使 用 公共 SSL 证 书 进行 安全 通信 


ELECTRICFISH 网 络 代 理 和 隧道 工具 


FALLCHILL RAT 工 具 

Brambul SMBR 

Joanap 构建 P2P 僵 尸 网 络 

AppleJeus 针对 MacOS 的 木马 

Dtrack RAT 工具 ， 针 对 银行 和 ATM 的 恶意 程序 
NukeSped RAT 工具 ， 其 也 针对 MacOS 

Dacls RAT 工具 ， 针 对 Windows 和 Linux 


TrickBot Anchor 利用 定制 的 网 络 犯罪 木马 分 发 PowerRatankba 


PowerRatankba PowerShell 实 现 的 后 门 程序 


Group 123 是 2016 年 曝光 的 APT 组 织 ,其 最 早 活动 可 以 追溯 到 2012 年 ， 
该 组 织 主 要 实施 网 络 间谍 活动 。 该 组 织 拥 有 较为 成 熟 的 针对 Windows 和 
Android 平台 的 攻击 木马 ， 常 被 命名 为 ROKRAT， 其 偏好 于 利用 云 盘 作 为 载荷 
分 发 和 数据 回 传 的 基础 设施 。 值 得 一 提 的 是 ， 韩 国安 全 厂商 披露 该 组 织 伪 装 


其 攻击 诱饵 的 主题 。 


我 们 在 年 中 报告 中 也 总 结 了 3 个 组 织 在 目标 选择 和 攻击 意图 上 的 不 同 ， 
即使 三 个 组 织 可 能 来 源 于 同一 地 域 范 围 ， 熟 悉 同样 的 语言 。 安 全 厂商 也 披露 
Group 123、Kimsuky 以 及 Konni 木马 家 族 之 间 存 在 联系 , 但 这 三 者 的 TTP A 
存在 较 大 的 差异 。 


Lazarus Group Group 123 Kimsuky 


主要 别名 Hidden Cobra APT37 无 
目标 行业 银行 /数字 货币 /国防 /政府 外 交 / 投 资 /贸易 ”媒体 


目标 地 域 。 全 球 范围 中 国 /韩国 韩国 /美国 
攻击 动机 。 ”经 济 利益 为 主 情报 获取 治 外 交 倾 向 


Darkhotel 是 另 一 个 活跃 在 东亚 地 区 的 APT 组 织 , 其 在 2019 年 被 公开 曝 
光 的 攻击 活动 较 过 去 来 看 存在 下 降 趋 势 ,但 这 并 不 代表 该 组 织 的 攻击 活动 频 
率 下 降 ， 其 在 2019 年 依然 持续 着 对 东亚 地 区 实施 APT 攻击 。 
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(Z) 东南亚 


海 莲 花 组 织 依然 是 在 东南 亚 地 区 最 为 活跃 的 APT 组 织 ， 其 在 2019 年 依然 保持 较 高 的 活动 频 


率 。 该 组 织 已 经 由 过 去 的 网 络 间谍 活动 延伸 至 商业 情报 窃取 领域 ， 如 汽车 制造 行业 。 
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披露 时 间 2019/04/24 
披露 来 源 腾讯 

攻击 活动 时 间 范 围 2019/01-03 
目标 地 域 中 国 E 


目标 行业 政府 /海事 /研究 披露 时 间 2019/05/08 
RERE 奇 安信 


攻击 活动 时 间 范 围 2018/12-2019/04 
目标 地 域 越南 

目标 行业 房地产 /银行 / 

软件 公司 /医院 Séi 


披露 时 间 2019/12/07 
披露 来 源 德国 媒体 


攻击 活动 时 间 范 围 2019/02-11 
目标 地 域 德国 
目标 行业 汽车 


y Enia 2019106120 1] 
披露 来 源 奇 安信 


披露 时 间 2019/05/08 


披露 来 源 奇 安信 攻击 活动 时 间 范 围 2019/06 
攻击 活动 时 间 范 围 2018/12-2019/04 目标 地 域 越南 
© 目标 地 域 泰国 目标 行业 环保 组 织 下 


目标 行业 东盟 会 议 


[pm 
披露 时 间 2019/03/20 
披露 来 源 ESET 
披露 时 间 2019/03/21 
UN PER S 攻击 活动 时 间 范围 2019/01-03 
攻击 活动 时 间 范围 2019/02-03 inta "- 
目标 地 域 未 知 [az 政党 E 
目标 行业 mm pem 2019/0508 X 
REKE 奇 安信 
攻击 活动 时 间 范 围 2018/12-2019/04 
目标 地 域 m 
SfN PU 
| Bess 青年 联 全 会 | 
pm 2019/08/12 " 
图 例 RERE eub 
攻击 活动 时 间 范围 2019/06-08 
Es 攻击 活动 地 域 (3) 未 知 攻击 活动 地 域 目标 地 域 m^ 
| Bee 政府 j 


TEACH ZEE zT H] Denis 木马 和 Cobalt Strike beacon 作为 其 最 
AAKER, 安全 厂商 也 发 现 其 新 的 木马 下 载 器 实现 , 并 命名 为 KerrDown. 
其 擅长 于 攻击 载荷 的 混淆 和 对 抗 手段 避免 下 发 的 木马 程序 被 检测 。 该 组 织 也 
具备 成 熟 的 针对 Mac0S 系统 的 攻击 工具 。 


我 们 在 年 中 的 报告 中 曾 总 结 过 海 莲花 组 织 常 用 的 攻击 技术 手段 ( 见 下 
图 ) 。 
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(=) 南亚 


今年 ， 南 亚 地 区 的 几 个 APT 组 织 活 动 频 度 较 高 ， 并 且 主 要 针对 中 国 、 巴 基 斯 坦 的 政府 、 


相关 目标 。 我 们 对 南亚 地 区 主要 活跃 的 APT 组 织 情况 进行 总 结 。 
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[SET 


< 


最 早 活动 时 间 : 2009 年 
公开 披露 时 间 : 2013 年 


| r 


组 织 主要 针对 中 国 、 巴 基 
斯 坦 的 政府 、 军 事 机 构 实 


施 网 络 间谍 活动 。 


| 最 早 活动 时 间 : 2013 年 
! 公开 披露 时 间 : 2016 年 


D, ae (82S 


E: 
最 早 活动 时 间 : 2016 
公开 披露 时 间 : 2017 年 


! 件 框架 。 分 析 研 究 也 发 现 
' 其 与 Hangover 和 
y Patchwork EKZ. 


; pee 


最 早 活动 时 间 : 2012 
公开 披露 时 间 : 2018 年 


该 组 织 最 早 由 Norman 公 ， 该 组 织 历史 主要 针对 中 国 ， 一 个 活跃 在 南亚 地 区 并 主 ' 疑似 来 自 南亚 某国 的 
司 披露 的 其 针对 挪威 电信 ”，、 巴 基 斯 坦 政府 等 相关 目 | 要 以 巴基斯坦 为 目标 的 威 | APT 组 织 ， 其 主要 针对 
公司 Telenor 的 APT 攻 击 ， 标 实施 APT 攻 击 ， 并 且 ， 胁 组 织 ， 其 主要 使 用 yty y 巴基斯坦 军 方 实施 攻击 。 
并 命名 为 Hangover。 该 v 于 摩 启 草 存在 关联 。 和 EHDevel 两 套 恶 意 软 


从 历史 的 APT 活动 来 看 ， 南 亚 地 区 的 APT 组 织 互 相 存 在 TTP 层面 的 重 
有 过， 其 大 多 利用 鱼 叉 邮件 和 社会 工程 学 实施 攻击 ， 并 且 使 用 公开 的 文档 型 漏 


洞 制作 诱 


秀 饵 文档 ， 如 CVE-2017-11882. 


其 大 多 同时 具备 针对 Windows 和 


Android 平台 的 攻击 工具 ， 不 过 有 意思 的 是 ， 其 攻击 武器 库 似乎 比较 杂 天 ， 
无 论 从 开发 语言 还 是 模块 的 重用 性 ， 大 多 不 具备 延续 性 。 


我 们 总 结 了 南亚 APT 组 织 在 过 去 一 年 的 主要 攻击 活动 如 下 : 


VG, E, E, 


[2019.01.31 
披露 来 源 : NE 
APT 组 织 : ME 
疑似 针对 巴 基 斯 
坦 的 攻击 。 


9.— — —69— 8— 8— ER A 


4,2019.08.30 


| 2019.09.12 
RERE: Rub 
APT 组 织 : Hp 
从 2019 年 7 月 
起 针对 泰国 、 斯 
里 兰 卡 的 攻击 。 


2019.02.25 


HARE: Palo Alto Networks 


APTER: SEHE 


2018 年 9 月 至 2019 年 初 
针对 巴基斯坦 和 沙特 阿拉 伯 


|2019.03.28 | 2019.04.16 


披露 来 源 : 


的 攻击 ， 使 用 ArtraDown- 
loader 下 载 器 和 Bitter 


| 2019.09.09 
BERE: MR 
APT 组 织 : 多 个 组 织 


针对 印 巴 地 区 的 
APT 攻击 活动 。 


RE 


RERE: 奇 安信 


APT 组 织 : B3 APT 组 织 : 肚 脑 虫 

针对 我 国 军 工 , 政 利用 Android 木 

府 的 攻击 。 马 StealJob 对 
巴基斯坦 目标 实 
施 攻击 。 


RERE (tub 
APT 组 织 : 响尾蛇 
通过 伪装 我 国 国 
防 部 国际 合作 部 
门 攻击 他 国 驻 华 
使 馆 人 员 。 


2019.08.26 
RERE. 奇 安信 
APT 组 织 ; 摩 词 草 
从 2018 年 7 月 起 , 
其 使 用 Github, 
Feed43 平台 进 
行 控制 基础 设施 
配置 的 分 发 。 


| 2019.04.19 | 2019.05.08 
IRSEXGS. 腾讯 RARE: 安 天 
APT 组 织 ， 摩 词 草 APT 组 织 : 响尾蛇 
疑似 针对 巴 基 斯 针对 巴基斯坦 的 
坦 政府 和 孟加拉 鱼 又 邮件 攻击 。 
国 技术 管理 人 员 
的 攻击 活动 。 


| 2019.08.08 2019.08.02 [201 9.07.03 
披露 来 源 : Anomali 披 需 来 源 ， NSHC 披 喜来 源 ， 奇 安信 
APTER: SBS APT 组 织 ， 肚 脑 忠 APT 组 织 : Hik 
针对 中 国政 府 的 2019 年 3 月 至 新 的 Android 木 
钓鱼 攻击 。 7 月 针对 巴 基 斯 Dn Google 

坦 政府 的 鱼 叉 Docs 获取 C&C 
攻击 。 信息 。 


———$— ——6— ——$— —— 6— ——6— — 6—» 


2019.10.18 2019.10.22 | 2019.10.28 | 2019.10.30 2019.12.09 [2019.12.19 


| 2019.10.16 
ERR, 安 恒 
APT 组 织 : 响尾蛇 


伪装 央企 保利 集 
团 针 对 国内 目标 


披露 来 源 : 瑞星 
APT 组 织 : 响尾蛇 
针对 我 国政 府 、 
国防 科研 、 军 事 
部 门 的 攻击 。 


披露 来 源 ; S2 Grupo 
APTIBIR; RS 
针对 巴基斯坦 的 
钓鱼 攻击 , 涉及 

中 巴 经 济 走廊 。 


RERE: 绿 盟 
APT 组 织 : Sam 
新 的 .Net 攻击 工 
具 Splinter。 


披露 来 源 


+ 国内 多 家 厂商 披露 来 源 : 瑞星 


披 需 来 源 ，360 


APTER, ERE APT 组 织 : ERË APT 组 织 : ERE 
国内 多 家 厂商 先 针对 巴基斯坦 的 利用 Android 木马 
后 披露 幕 灵 花 的 攻击 活动 。 SideRAT 攻击 中 
控制 后 台 。 国 军工 人 员 。 
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(四 ) 东欧 


东欧 地 区 活跃 着 几 个 极为 古老 的 APT 组 织 ， 如 APT28、APT29、Turla， 其 拥有 高 超 的 攻击 技 


全 球 高 级 持续 性 威胁 CAPT) 2019 年 报告 


APT29 

最 早 活动 时 间 : 2008 年 
公开 披露 时 间 : 2013 年 

被 认为 与 东欧 地 区 某 大 国有 
关 的 APT 组 织 ， 其 最 早 攻击 
活动 至 少 可 以 追溯 到 2008 
年 。 该 组 织 被 认为 从 2015 年 
y 夏季 就 攻击 了 美国 DNC。 


' 
i 
i 
` 
i 
' 
D 
1 
' 
` 
D 
' 
į 
i 
' 
' 
[ 
' 
1 


' APT28 

| 最 早 活动 时 间 ，2004 年 

| 公开 披露 时 间 : 2014 年 

， 同样 被 认为 隶属 于 东欧 地 区 
| 某 大 国情 报 机 构 的 APT 组 
| 织 。 其 历史 攻击 活动 非常 频 
| 繁 ， 并 且 主 要 以 网 络 间谍 活 
， 动 为 目的 ， 该 组 织 被 认为 和 
2016 年 美国 DNC 被 攻击 和 干 
Y 扰 美 国 大 选 事件 有 关 。 


D, ae (82S 


' Turla 

， 最 早 活动 时 间 : 2004 年 
! 公开 披露 时 间 : 2014 年 

， 被 认为 与 东欧 地 区 某 大 国有 
| 关 ， 其 拥有 非常 复杂 的 TTP， 
; 其 前 身 可 能 和 Moonlight- 
y Maze 有 关 。 该 组 织 实施 网 络 

间谍 活动 。 


H 
1 
D 
D 
1 
D 
1 
1 
1 
1 
1 
1 
1 
1 
D 
D 
H 
H 
1 
1 
H 


2013 2014 2017 


Gamaredon 

最 早 活动 时 间 : 2013 年 

公开 披露 时 间 : 2017 年 
主要 攻击 乌克兰 政府 相关 人 
员 。 其 由 过 去 严重 依赖 于 
off-the-shelf 工 具 的 时 候 转 
变 为 自 定义 的 恶意 软件 。 
OPERATION ARMAGED- 


y DON 行 动 与 该 组 织 有 关 。 


整体 来 说 ,2019 年 东欧 几 个 APT 组 织 的 公开 披露 次 数 较 2018 年 有 减少 ， 


我 们 整理 了 今年 披露 的 主要 攻击 活动 。 


| 2019.02.20 mm 


IREKE: Microsoft 
APTAR: APT28 


1t 2018 ££ 9 BÆ 12 H 


披露 来 源 : Yoroi 
APT 组 织 : APT28 


疑似 在 3 月 针对 乌克兰 


间 针 对 欧洲 的 比利时 ， 法 选举 的 攻击 活动 。 
国 , 德国 , 波兰 , 罗马 尼 亚 
和 塞尔维亚 的 攻击 ， 涉 及 
选举 和 民主 机 构 。 

2019.10.28 | 2019.10.17 
披露 来 源 : Microsoft 披露 来 源 : ESET 


APT 组 织 ; APT28 

从 9 上 月 16 日 起 ， 针 对 至 
少 16 个 国家 和 国际 体育 
和 反 兴 奋 剂 组 织 实施 攻 
击 活动 。 


APT 组 织 : APT29 


ESET 披露 其 发 现 的 从 
2013 年 开始 的 Ghost 
行动 并 针对 了 欧洲 至 少 
三 个 不 同 国家 的 外 交 部 。 


| 2019.05.07 
REKE: ESET 
APT 组 织 : Turla 
ESET 披露 其 至 少 从 2014 
年 起 使 用 的 一 个 针对 
Exchange 邮件 服务 器 的 后 
门 程序 ,针对 包括 巴西 、 东 欧 
和 中 东 的 军事 、 外 交 机 构 。 


Loo 9.10.03 
MRE: Kaspersky 
APT 组 织 : Turla 


卡巴 披露 的 从 2019 年 4 
月 底 开 始 的 针对 俄罗斯 
和 白俄罗斯 的 活动 。 


2019.06.21 
HERH: Symantec 
APT 组 织 ，Turia 

从 2018 年 初 开始 的 针 
对 南美 欧洲 中东、 南亚 
和 东南 亚 和 0 个 国家 ， 
涉及 政府 外 交 、IT、 通 信 
和 教育 。 


| 2019.09.24 
RERA: ESET 
APT 组 织 : APT28 
8 月 20 日 起 针对 东欧 和 
中 亚 国 家 的 使 馆 和 外 交 
部 的 攻击 活动 。 


APT28 组 织 是 全 球 最 为 活跃 的 APT 组 织 之 一 , 其 主要 利用 鱼 又 邮件 攻击 ， 


在 过 去 主要 可 以 通过 XAgent 木马 与 其 联系 到 一 起 ， 后 续 该 木马 使 用 频率 降 
低 并 频繁 使 用 一 个 通过 多 种 不 同 语言 开发 的 Zebrocy 木马 ,国外 安全 厂商 还 
发 现 该 组 织 使 用 Nim 语言 开发 其 下 载 器 ”。APT28 除了 使 用 自己 的 专用 木马 
程序 外 ， 其 还 擅长 于 通过 公开 和 开源 工具 的 组 合 使 用 。 


攻击 工具 名 称 ”功能 说 明 

Zebrocy 多 种 语言 实现 的 下 载 器 ， 包 括 Go、AutolT、Delphi、C#、Python 
LoJax UEFI rootkit 

Blitz 一 个 DLL 后 门 

XAgent 历史 常用 的 第 二 阶段 木马 


APT29 组 织 在 今年 鲜 有 公开 的 披露 报告 , 除了 ESET 披露 了 一 个 针对 欧洲 
外 交 机 构 的 Ghost 行动 中， 其 中 MiniDuke 推测 延续 了 过 去 的 MiniDuke A 
马 功能 ， 还 发 现 了 其 他 的 三 个 新 的 木马 程序 。 从 过 去 披露 来 看 ， 该 组 织 也 党 
用 鱼 又 邮件 和 定制 的 专用 木马 。 
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攻击 工具 名 称 功能 说 明 


PolyglotDuke ”使 用 社交 网 站 存储 C&C 地 址 ， 利 用 图 片 隐 写 进行 控制 通信 


RegDuke 第 一 阶段 载荷 ， 使 用 Dropbox 作 为 控制 基础 设施 
MiniDuke 汇编 实现 的 第 二 阶段 木马 
FatDuke 第 三 阶段 植 入 的 复杂 后 门 


Turla 是 另 一 个 古老 而 又 富有 创新 性 的 APT 组 织 , 其 在 针对 Exchange 邮 


件 服务 器 的 后 门 程序 中 将 其 伪装 成 Transport Agent KIFFA H 


被 发 现 其 通过 支持 APT34 的 控制 基础 设施 用 于 自身 的 攻击 活动 ””。 


卡巴 在 VB2019 会 议 上 还 披露 了 疑似 与 Turla 有 关 的 Reducor RAT 工具 
57. Hali patch FireFox 和 Chrome 浏览 器 中 的 伪 随 机 数 生成 函数 ， 在 目 
标 受害 者 进行 TLS 握手 阶段 ， 在 生成 的 随机 数 中 添加 了 对 受害 者 的 标识 。 


攻击 工具 名 称 功能 说 明 


LightNeuron 针对 Exchange 邮 件 服务 器 的 后 门 
- 定制 Posh-SecMod 的 PowerShell 加 载 器 


ComRAT 第 二 阶段 后 门 

PowerStallion PowerShell 实 现 的 后 门 ， 利 用 OneDrive 作 为 C&C 
Topinambour .Net 下 载 器 ， 用 于 分 发 KopiLuwak 

KopiLuwak JavaScript 木 马 ， 其 似乎 还 存在 一 个 PowerShell 版 本 
Reducor RAT 工具 


Gamaredon group 是 由 Palo Alto Networks 最 早 披露 的 针对 乌克兰 的 
APT 组 织 ， 据 公开 资料 ， 乌 克 兰 安全 局 SBU 在 过 去 将 该 组 织 与 东欧 某 强国 联 
系 到 一 起 ””。 相 对 于 上 述 三 个 组 织 来 说 ，Gamaredon 使 用 的 攻击 能 力 似 乎 较 
弱 ， 其 利用 SFX 诱饵 或 者 模板 注入 技术 分 发 和 植 入 自 定 制 的 Pteranodon 载 


荷 。 
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CR) 中 东 


中 东 地 区 ， 具 有 着 极为 复杂 的 政治 外 交 局 势 ， 其 地 域 下 充满 了 疑似 政府 背景 的 情报 监控 
活动 ， 网 络 间 谍 活 动 。 结 合 公开 情报 来 看 ， 虽 然 中 东 地 区 APT 组 织 的 攻击 能 力 整 体 并 不 高 ， 但 其 


会 大 量 依赖 网 络 武器 库 交 易 来 实现 自身 的 网 络 攻击 能 力 。 


全 球 高 级 持续 性 威胁 CAPT) 2019 年 报告 KI BE (e 3ES 


APT33, APT34 和 MuddyWater 是 被 公开 认为 是 中 东 地 区 某国 背景 的 三 个 
比较 活跃 的 APT 组 织 ， 其 攻击 活动 似乎 并 未 因为 其 武器 库 和 攻击 人 员 资 料 被 
泄露 而 停止 。 


一 96 一 一 和 一 6 一 一 


2019.01.16 | 2019.03.21 [2019.03 | 2019.03.27 | 2019.04.10 
RERE: 腾讯 RERE: 奇 安信 披 需 来 源 : 一 按 需 来 源 : Symantec 披露 来 源 ; Check Point 
APT 组 织 : MuddyWater APT 组 织 ; MuddyWater APT 组 织 : APT34 APT 组 织 : APT33 APT 组 织 : MuddyWater 
疑似 针对 白俄罗斯 的 疑似 针对 伊拉克 移动 APT34 相关 资料 和 人 从 2016 年 初 至 针对 白俄罗斯 , 土 耳 
国防 部 、 外 交 部 的 攻 运营 商 Korek Telecom 员 遭 到 泄露, 后 续 据 称 2019 年 2 月 主要 针 其 和 乌克兰 的 鱼 又 钓 
击 活动 。 的 攻击 。 是 和 MuddyWater 对 沙特 阿拉 伯 、 美 国 鱼 活动 。 

相关 的 资料 在 另 一 个 等 目标 。 
渠道 遭 到 泄露 。 

| 2019.11.13 2019.07.18 2019.06.10 | 2019.06.10 |2019.04.15 
披露 来 源 : Trend Micro 披露 来 源 ，FireEye ERRE: BR 披露 来 源 : Trend Micro 披露 来 源 ; ClearSky 
APT 组 织 : APT33 APT 组 织 : APT34 APT 组 织 : MuddyWater APT 组 织 : MuddyWater APT 组 织 : MuddyWater 
至 少 从 2018 年 秋 到 2019 年 6 月 ， 伪 装 针对 包括 塔吉克 斯 坦 针对 约旦 的 一 所 大 学 针对 土耳其 库尔德 政 
2019 年 , 该 组 织 使 用 成 剑桥 大 学 人 员 的 网 的 外 交 、 政府 部 门 、 土 和 土耳其 政府 的 鱼 又 治 团体 和 组 织 的 攻击 
多 个 小 型 僵尸 网 络 构 络 钓鱼 活动 ， 并 且 利 耳 其 的 政府 部 门 的 攻 钓鱼 活动 。 活动 。 

建 的 控制 基础 设施 网 用 LinkedIn 分 发 恶 击 活动 。 
络 , 并 针对 中 东 、 美国 意 程序 。 

和 亚洲 的 能 源 、 军 事 

目标 的 活动 。 


上 述 的 三 个 APT 组 织 ， 其 偏好 基于 鱼 又 钓 鱼 邮 件 ， 社 工 等 方式 建立 攻击 
立足 ， 其 会 开发 自 定义 的 攻击 程序 ， 并 多 使 用 脚本 类 和 公开 工具 。 我 们 从 其 
上 半年 泄露 的 网 络 武器 工具 来 看 ， 其 网 络 武器 的 构建 能 力 相 对 较 弱 。 我 们 在 
年 中 的 报告 中 也 曾 总 结 过 APT34 (OilRig) 组 织 泄露 的 网 络 武器 库 。 


攻击 工具 名 称 功能 说 明 


Poison Frog Powershell 后 门 ， 通 过 DNS 和 HTTP 通 信 ， 也 称 为 BONDUPDATER 


Glimpse Powershell 后 门 ， 通 过 DNS 通信 ， 也 称 为 Updated BONDUPDATER 

多 个 Webshell FoxPanel222、HighShell、HyperShell、Minion 

webmask Python 实 现 的 DNS 动 持 和 中 间 人 攻击 工具 ，Cisco Talos 也 称 为 DNSpionage 
Jason Exchange 密 码 爆 破 工具 


除 此 以 外 ， 中 东 还 活跃 着 数 个 APT 组 织 ， 其 主要 攻击 目标 通常 为 本 国 的 
目标 人 员 或 周边 地 缘 的 目标 人 员 ， 以 实施 持续 的 网 络 监控 和 间谍 活动 为 目的 。 


APT 组 织 
SandCat 


APT 组 织 
RSR 


APT 组 织 
DustSquad 
APT 组 织 

Moonlight 


ml APTE X 


© 目标 地 域 FruityArmor 


18 


全 球 高 级 持续 性 威胁 CAPT) 2019 年 报告 mg, rz | 《名 > 奇 安信 


(六 ) 北美 


奇 安 信和 威胁 情报 中 心 今年 发 布 了 一 份 详细 分 析 某 国情 报 机 构 相 关 的 网 络 武器 库 的 报告 ， 其 中 
涉及 了 至 少 8 个 不 同 的 攻击 程序 类 型 。 我 们 结合 了 赛 门 铁 克 和 卡巴 斯 基 的 历史 报告 ， 以 及 维基 解 
AH ERR Vault? 项 目 资料 , 最 终 将 公开 的 项 目 代 号 或 恶意 代码 命名 与 实际 的 攻击 程序 相对 应 , 并 
结合 攻击 程序 功能 我 们 推测 了 其 在 实际 攻击 活动 中 被 使 用 的 攻击 阶段 和 关联 性 。 公 开 的 研究 人 员 
也 将 此 背景 的 网 络 武器 库 统 一 按照 Lamberts (XE Longhorn) 命名 来 跟踪 。 
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攻击 立足 


横向 移动 


回 连 和 控制 Oo 


和 武器 ， 图 Athena/BlackLambert Wi Fluxwire Wi GrayLambert Wi White Lambert W GreenLambert I LP: Listening Post W LH1. 恶意 家 族 名 


自 维基 解密 网 站 公开 曝光 某国 情报 机 构 下 EDG 部 门 开 发 的 网 络 武器 库 资 
料 以 来 ， 似 乎 攻击 并 未 因此 而 停止 ， 国 外 安全 厂商 EST 在 今年 也 披露 了 一 
份 关于 Lamberts HRE, 其 中 介绍 了 攻击 活动 从 2017 年 3 月 以 来 就 一 直 
处 于 活动 状态 , 并 且 攻 击 了 中 欧 和 中 东 的 少数 机 构 。 我 们 从 其 报告 介绍 来 看 ， 
似乎 部 分 特征 也 存在 于 我 们 分 析 的 攻击 工具 集中 。 


结合 过 去 的 披露 和 研究 基础 来 看 , 北美 APT 组 织 的 网 络 武器 库 从 最 初 构 
建 时 就 是 积木 式 的 ， 在 实际 使 用 时 会 根据 目标 和 攻击 策略 进行 定制 化 组 装 。 
由 于 构建 整个 武器 库 所 需要 的 资源 和 人 力 是 巨大 的 ， 所 以 完全 抛弃 其 历史 的 
网 络 武器 库 而 重新 构建 的 代价 也 是 极 高 的 ， 也 许 这 也 是 我 们 发 现 其 攻击 载荷 
和 历史 活动 中 使 用 的 依然 存在 一 些 代码 功能 的 重 亚 的 原因 。 但 由 于 其 攻击 操 
作 安 全 COPSec) 做 的 足够 好 ， 导 致 对 攻击 载荷 的 完整 捕获 极为 困难 ， 也 导致 
了 在 复 盘 分 析 和 事件 还 原 过 程 中 缺失 了 很 多 关键 环节 。 
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F 是 男 一 个 容易 忽视 的 APT 活跃 地 区 ， 奇 安信 威胁 情报 中 心 
在 今年 也 发 现 和 披露 了 一 个 新 的 APT 组 H 
就 一 直 针 对 哥伦比亚 政府 机 构 和 大 型 公司 金融 、 石 油 、f 


从 2018 年 4 月 起 


制造 等 行业 等 重 


要 领域 展开 了 有 组 织 、 有 计划 、 针 对 性 的 长 期 不 间断 攻击 。 其 攻击 平台 主要 
为 Windows， 利 用 鱼 叉 邮件 和 诱饵 文档 投递 最 终 的 Imminent 后 门 程序 。 


EE 
命名 的 APT 组 织 Machete, H 
美 地 区 国家 说 西班牙 语 的 人 员 ， 而 在 今年 其 
并 且 针 对 军事 相关 目标 人 员 ， 该 组 织 主 要 使 用 Python 语言 开发 的 后 门 并 编 
译 成 可 执行 文件 进行 分 发 。 

另外 值得 一 提 的 是 ，Regin WEFR ELS 
透 社 披露 在 2018 年 10 月 至 11 月 ，Regin 新 的 变种 被 发 现 用 于 攻击 俄罗斯 
的 Yandex AF]. Regin 在 过 去 已 被 公 玫 
判 作 的 攻击 平台 ， 曾 被 用 于 攻取 


共同 


民 庆 并 不 是 南美 地 区 唯一 发 现 的 APT 组 织 ， 另 一 个 由 卡巴 最 早 发 现 和 
早 活 动 被 发 现 从 2010 年 


台 ， 其 主要 针对 拉 


厂商 发 现 新 的 攻击 活动 


新 活跃 ”"。 今 年 6 月 , F 


由 某 个 知名 的 政府 间 情 报 联盟 
fF 比 利 时 电信 公司 Belgacom。 也 有 安全 研 
究 人 员 也 分 析 推 测 了 Regin 可 能 就 是 代号 DAREDEVIL 和 WARRIORPRIDE 项 目 
的 结合 中 > 
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二 、 广域网 下 的 APT 威胁 


从 过 去 的 APT 威胁 研究 来 看 ， 绝 大 多 数 的 APT 威胁 场景 依然 在 受害 目标 
所 属 的 组 织 机 构 网 络 下 ，APT 攻击 需要 选择 合适 的 攻击 入 口 突破 企业 网 络 边 
界 ， 并 且 在 攻击 达成 后 通过 网 络 基础 设施 进行 命令 控制 或 数据 渗 出 。 


APT 组 织 通过 构建 诱饵 文件 或 是 利用 失陷 网 站 实施 鱼 又 邮件 和 水 坑 攻 击 
并 诱 寻 目标 点 击 触发 载荷 的 执行 和 恶意 网 站 的 访问 ， 从 而 获得 初始 的 攻击 立 
足 。 而 在 过 去 ， 部 分 APT 组 织 和 攻击 活动 利用 广域网 的 网 络 协议 ， 实 施 DNS 
劫持 、BGP 劫持 ， 以 达到 对 广域网 下 流量 的 重 定向 ， 劫 持 和 中 间 人 攻击 的 目 
的 。 


在 历史 斯 诺 登 泄露 的 文档 中 ， 曾 披露 过 某国 通过 其 具备 的 广域网 下 部 分 
骨干 节点 的 控制 能 力 而 建立 的 TURBULENCE 项 目 ， 并 用 于 数据 监听 和 情报 收 
E, RAE TURMOIL 项 目 用 于 互联 网 络 上 的 被 动 信号 情报 收集 ，TURBINE 
是 基于 自动 化 和 批量 化 攻击 植 入 的 系统 实现 主动 信号 情报 收集 。 而 后 续 
QUANTUM INSERT 项 目 实现 的 man on the side 攻击 技术 以 及 将 目标 重 定向 
到 FOXACID 服务 器 , 也 是 基于 TURBULENCE 实现 的 。 下 图 参考 自 公 开 文章 。 


I TOP SECRET/COMINT//REL TO USA, AUS, CAN, GBR, NZL | 
TURBINE: Active Mission Management 


(TSIISUIREL) TURBINE provides 
19 centralized automated command/control 


TURMOIL of a large network of active implants 
TUTELAGE 


Accesses 


Implants (TAO) 


而 对 于 APT 组 织 来 说 ， 往 往 不 具备 对 因特网 核心 基础 设施 的 控制 能 
能 通过 广域网 的 劫持 攻击 来 达到 类 似 的 目的 。 


EI 


ZNZAN 
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我 们 收集 和 列举 了 近 两 年 来 针对 DNS 和 BGP 支持 的 恶意 攻击 活动 。 


2018.04 | 2018.11 


有 攻击 组 织 通过 劫持 | Google 发 现 其 网 络 流 
BGP 窃取 数字 加 密 货 | 量 被 劫持 ， 后 续 尼 日 利 
mz, 亚 ISP MainOne 声 


2018.11 2018.11 


Cisco Talos $ 露 其 Cisco Talos 8&7 
发 现 疑 似 波 斯 湾 某 名 为 DNSpionage 
国 利用 BGP aen 的 行动 , 其 劫持 了 
Instagram 和 Tele- DNS 用 于 攻击 黎巴嫩 、 
| gram 用 户 的 攻击 125]。 阿联酋 政府 部 门 "7. 


2018.01 


ESET 安全 厂商 披露 
Turla 可 能 利用 对 ISP 
的 流量 动 持 或 者 BGP 
动 持 手 段 用 于 向 目标 
分 发 虚假 恶意 的 Flash 
Player 安装 器 29], 而 
该 组 织 曾 在 2015 年 也 


| 称 其 错误 配置 了 BGP 
人 导致 事件 的 发 生 24]。 


被 发 现 过 利用 类 似 的 
劫持 手段 用 于 其 攻击 
| e, 


2019.07 2019.05 | 2019.04 


2019.01 
英国 NCSC 机 构 发 布 我 国 台 湾 地 区 网 络 中 | Cisco Talos 披露 了 FireEye 和 Crowd- 
了 DNS 动 持 攻击 的 预 心 (TWNIC ) 运行 的 名 为 Sea Turtle 的 Strike 同 时 披露 疑似 
警 , 包括 涉及 Sea Quad101 DNS 系统 攻击 活动 , 其 利用 波斯 湾 某国 实施 的 
Turtle 活动 和 在 巴西 遭受 BGP 劫持 ， 路 由 DNS 劫持 攻击 了 至 DNS 劫持 ， 主 要 影 
超过 18 万 台 路 由 器 被 重 定向 到 巴西 的 某 个 | 少 13 个 国家 的 40 响 了 中 东 和 北非 地 区 
黑客 攻击 并 篡改 了 实体 ， 并 持续 了 三 分 半 个 组 织 , 并 且 用 于 的 包括 政府 、 电 信和 
DNS 配置 事件 [33]。 ig (191, | VPN 凭据 收集 和 中 互联 网 基础 设施 实体 
BAS [UM £28. 29], 


针对 因特网 广域网 下 的 DNS 劫持 、BGP 劫持 可 以 让 攻击 者 重 定向 目标 的 
网 络 流量 到 自身 的 控制 基础 设施 ， 从 而 实现 数据 监听 、 收 集 、 中 间 人 攻击 的 
目的 ， 并 且 为 广域网 提供 基础 设施 服务 的 I SP、 域 名 服务 商 、CDN 服务 商都 
有 可 能 成 为 APT 威胁 的 目标 。 


三 、 利用 供应 链 攻击 实施 APT 活动 


利用 供应 链 的 攻击 在 APT 活动 中 时 常 有 发 生 ， 我 们 在 年 中 的 报告 中 也 
总 结 过 上 半年 的 APT 类 供应 链 攻击 活动 。 


下 表 整 理 了 2019 年 的 APT 类 供应 链 攻击 活动 。 


披露 时 间 披露 厂商 针对 目标 相关 APT 组 织 /行动 概要 

2019.1.16 Trend Micro 在 线 广告 公司 MageVcart 通过 植 入 在 线 广告 公司 的 JavaScript 库 来 感染 
电子 商务 网 站 [33 

2019.3.11 ESET 游戏 开发 人 员 Winnti 针对 游戏 行业 的 供应 链 攻 击 [94] 

2019.3.25 Kaspersky 华硕 ShadowHammer 在 预 装 的 ASUS Live Update 程 序 植 入 后 门 ， 
通过 匹配 用 户 mac 地 址 实施 针对 特定 目标 的 攻击 [95] 

2019.5.14 ESET 华硕 BlackTech 疑似 攻击 华硕 WebStorage (8) 

2019.5.14 RisklQ CMS、 分 析 服务 提供 商 、 广 告 Magecart 针对 网 站 多 类 供应 商 的 攻击 [39] 

平台 提供 商 、Web 应 用 的 IT 提供 商 

2019.9.18 Symantec IT 供应 商 Tortoiseshell 通过 攻击 沙特 阿拉 伯 的 IT 提供 商 以 达到 攻击 
其 客户 的 目的 [37 

2019.10.3 ^ Context 合作 伙伴 、 供 应 商 AVIVORE 针对 英国 和 欧洲 航空 航天 与 国防 的 攻击 [961 


从 过 去 的 供应 链 攻击 来 看 ， 其 一 方面 通过 攻击 软件 供应 链 的 各 个 环 
节 ， 包 括 第 三 方 库 的 引用 ， 开 发 人 员 ， 产 品 构建 阶段 ， 另 一 方面 通过 攻击 
和 目标 相关 的 IT 供应 商 、 软 件 供应 商 、 硬 件 供应 商 、 合 作 伙伴 等 。 其 针对 
带 有 签名 的 合法 应 用 、 预 装 程序 植 入 后 门 ， 能 够 实现 更 加 隐蔽 的 攻击 立足 
效果 。 
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四 、 ”网络 军火 、0day 5 APT 威胁 


0day 漏洞 一 直 是 作为 实施 APT 攻击 的 重要 利器 , 无 论 是 影子 经 纪 人 黑客 
组 织 泄露 的 NSA 武器 库 中 曝光 了 大 量 的 Oday 漏洞 利用 装备 ， 还 是 维基 解密 
披露 的 Vault" MHP CIA 用 于 管理 的 针对 Android 和 ios 的 漏洞 利用 列表 
文档 ， 都 展示 了 Oday 漏洞 或 成 熟 的 漏洞 利用 链 是 实施 网 络 攻击 利用 的 关键 
能 力 。 

我 们 整理 了 2019 年 用 于 在 野 攻击 活动 的 漏洞 列表 ( 见 下 表 ) 。 相 比 2018 


年 来 说 ， 在 野 攻击 活动 中 利用 的 文档 型 0day 漏洞 并 未 发 现 ， 针 对 浏览 器 的 
远程 代码 执行 漏洞 数量 提升 ， 并 且 配 合 沙 盒 逃 锡 和 提 权 漏洞 使 用 。 


是 否 0day 是 否 在 野 利 用 利用 的 APT 组 织 


CVE-2018-20250 WinRAR ACE 路 径 穿 越 漏洞 e 是 多 个 APT 组 织 Check Pointl?) 
CVE-2019-0797 ”Windows 提 权 漏洞 是 是 FruityArmor.SandCatl'4 Kaspersky 
CVE-2019-5786 ^ Chrome UAF 一 是 [19 未 知 官方 披露 
CVE-2019-0808 ”Windows 提 权 漏 油 是 SIS 未 知 官方 披露 
CVE-2019-0859 Windows 提 权 漏 洞 是 gg 16] 未 知 Kaspersky 
CVE-2019-1132 Windows 提 权 漏洞 是 是 Buhtrap!?! ESET 
CVE-2019-1367 IE JScript E = Darkhotell12] 官方 披露 
CVE-2019-13720 Chrome 星 是 Operation WizardOpiuml10,11 ,疑似 DarkHotel Kaspersky 
CVE-2019-1458 ”Windows 提 权 漏洞 是 是 Operation WizardOpium! 19.111, E&frlDarkHotel 
CVE-2019-0708 RDP 否 gis 非 APT 安全 研究 人 员 
CVE-2019-11707 Firefox 是 gl 未 知 官方 披露 
CVE-2019-11708 

CVE-2018-6055 ”浏览 器 A F RRE 奇 安信 
CVE-2019-7287 iOS 是 未 知 Google?! 
CVE-2019-7286 

CVE-2019-6225 iOS E 是 未 知 Google! I 
CVE-2019-8518 

CVE-2019-2215 ^ Android g 是 NSO Google" 
CVE-2019-3568 WhatsApp 是 是 NSO 官方 披露 


但 不 是 所 有 的 APT 组 织 都 完全 具备 Oday 漏洞 的 挖掘 能 力 ,， 所 以 Oday W 
洞 也 一 直 作 为 网 络 武器 在 地 下 市 场 买卖 交易 。 例 如 卡巴 斯 基 在 过 去 发 现 和 披 
露 了 某 熟 悉 俄语 或 乌克兰 语 的 黑客 在 地 下 论坛 以 BuggiCorp 的 ID IRE Oday 
漏洞 ， 卡 巴 以 内 部 代号 Volodya 进行 跟 踊 。 在 WizardOpium 行动 中 使 用 的 
CVE-2019-1458 以 及 APT28 历史 使 用 的 CVE-2016-7255 都 被 认为 是 购买 的 该 
黑客 开发 的 0day 漏洞 。 


网 络 军火 商 是 另 一 个 在 0day 漏洞 和 网 络 武器 交易 市 场 的 重要 角色 ， 像 
Gamma、Hacking Team、NS0 Group 都 是 知名 的 网 络 军 火 商 ， 其 开发 一 套 完 备 
的 网 络 监控 系统 并 出 售 给 其 客户 。 


在 过 去 , 披露 最 多 的 网 络 军 火 商 的 客户 大 都 是 活跃 在 中 东 地 区 的 APT 组 
织 , 并 且 通 常 具备 国家 情报 机 构 背 景 , 其 通常 用 于 监控 人 权 组 织 、 异 见 人 士 、 
记者 、 本 土 的 外 交 人 员 等 等 以 达到 其 政权 控制 的 意图 。 


Ka 
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网 络 军火 商 网 络 武器 代号 APT 组 织 购买 网 络 武器 


黄金 雕 (APT-C 
34.DustSquad) 


网 络 军 火 商 的 存在 大 大 降低 了 部 分 APT 组 织 实施 网 络 攻击 活动 所 需 的 能 
力 ， 而 网 络 武器 的 制作 者 和 实施 攻击 活动 的 真实 来 源 被 完全 分 隔 开 来 ， 难 以 
通过 网 络 武器 本 身 对 实际 的 攻击 组 织 进行 追溯 和 定位 。 


五 、 网 络 战 与 CNA 


网 络 战 往往 可 能 伴随 着 国际 形势 变化 ， 军 事 冲突 ， 政 治 外 交手 段 ， 地 
缘 冲 突 等 因素 ， 其 也 可 能 出 现 和 军事 行动 相 结合 。 如 同 在 序言 中 所 说 ， 网 
络 战 成 功 的 基础 则 是 很 大 依赖 于 对 潜在 目标 的 了 解 ， 所 以 针对 潜在 目标 的 
网 络 利 用 和 情报 收集 往往 用 来 弥补 对 对 手 认 知 的 缺失 ， 并 且 进 行 针对 性 的 
武器 化 储备 。 

与 现实 的 军事 行动 不 同 的 是 ， 由 于 网 络 攻击 更 容易 隐匿 攻击 源头 导致 
行动 难以 归 因 ， 并 且 双 方 都 不 总 是 公开 承认 ， 使 得 实施 网 络 战 造 成 的 国际 
与 论 影响 远 小 于 发 起 一 次 军事 行动 ， 并 且 达 成 可 能 类 似 的 行动 效果 。 

由 于 真实 的 网 络 战 活动 难以 实际 观测 到 ， 也 难以 和 APT 组 织 本 身 联 系 


起 来 ， 我 们 仅 从 公开 披露 的 新 闻 事件 列举 出 这 一 年 发 生 的 疑似 网 络 战 事件 
列表 。 
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以 色 列 IDF 声称 哈 马 
斯 网 络 部 队 尝 试 攻击 
以 色 列 ， 随 后 其 出 动 无 
人 机 空袭 了 巴勒斯坦 
哈 马 斯 军事 情报 部 门 
总 部 在 加 沙 地 带 的 大 
Sal, 


2019.05 


9 


vm RÉI 

pri äi e, TECEN 

SUMMER Nemo GERE ADR ur 
SmSN sb 201 14. 


伊朗 阿 巴 丹 炼油 厂 疑 
似 遭 受 网 络 攻 击 导致 
火灾 i481, 


2019.10 


Dm, tee (902825 


aya usi 
nimias e aea dh si gp Gile aia a 
KSE 
A das y CAS gen APT27 sad Calis qam e pa aa fy cil 
n 
pa den hola ais yin nad pages Sla Ail est ap 
arl 
€——— com 
EECH 
SERIES EE REESEN 
APTZTRSESAB SIR, 


伊朗 电信 部 长 宣布 近 
期 连续 挫败 了 两 次 针 
对 其 政府 基础 设施 的 
APT 攻击 活动 (47]。 


2019.12 


2019.03-06 2019.08 2019.12 初 

南美 多 个 国家 出 现 异 美国 官员 宣传 其 在 6 英国 核发 电厂 被 披露 遭 
常 的 停电 事件 ， 也 被 国 月 针对 伊朗 实施 了 一 受 网 络 攻击 [49]。 

外 新 闻 媒 体 联想 到 是 次 秘密 网 络 攻击 抹 去 

理 与 网 络 攻击 或 演习 了 伊朗 准 军事 部 门 用 

有 关 。 3k 9E IX S6 89 e dz 


的 重要 数据 库 46), 
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六 、 ”移动 终端 场景 的 APT 威胁 


针对 智能 手机 是 APT 威胁 的 另 一 个 威胁 场景 ， 其 主要 的 目的 在 于 实现 监 
控 和 宅 听 ， 并 针对 特定 的 个 人 或 群体 。 在 过 去 的 移动 APT 活动 中 ， 通 常 通过 
远程 代码 执行 漏洞 、 钓 鱼 消息 或 者 将 间谍 软件 混入 应 用 市 场 等 方式 在 智能 手 
机 中 植 入 后 门 程 序 ， 获 取 包 括 短信 、 通 讯 录 、 定 位 、 文 件 、 应 用 数据 、 录 音 


和 录像 的 数据 。 


在 手机 间谍 应 用 和 监控 系统 的 背后 ， 不 乏 存 在 不 少 网 络 军火 商 的 身影 ， 


包括 NSO, Hacking Team, Gamma 都 提供 针对 Android, ios 的 监控 系统 和 木 
马 ， 并 且 利 用 漏洞 利用 链 植 入 后 门 程序 。 在 2019 年 中 ， 老 牌 的 网 络 军火 商 
依旧 持续 提供 更 新 版 本 的 间谍 服务 。 例 如 卡巴 斯 基 发 现 FinSpy 针对 Android 
和 10S 的 新 版 本 ”; 还 有 一 份 公开 的 Pegasus 产品 文档 也 展示 了 NS0 Group 
提供 了 极其 完备 的 移动 终端 监控 服务 , 而 Pegasus 正 是 之 前 NSO 利用 3 个 针 


对 iOS 的 Oday 漏洞 攻击 中 东 某 政治 人 士 的 植 入 程序 。 


新 的 网 络 军 火 商 正在 开发 制作 新 的 间谍 木马 。 在 2019 年 3 月 安全 研究 


机 构 也 披露 了 名 为 Exodus 的 新 的 间谍 软件 平台 所， 并 将 其 与 一 家 欧洲 公司 
eSurv 联系 到 了 一 起 。 


针对 移动 终端 的 Oday 漏洞 和 完整 利用 链 在 野 攻击 的 爆发 。 今 年 8 H, 


Google Project 


的 在 野 攻 击 案例 


Zero 团队 披露 了 一 个 针对 i0S 10 到 i0S 12 几乎 所 有 版 


， 其 使 用 了 5 个 完整 漏洞 利用 链 , 总 共 14 个 漏洞 , 其 中 7 个 


都 是 针对 iPhone 的 Web 浏览 器 W。 后 续 公 民 实 验 室 也 发 布 了 相关 事件 中 针 


对 Android 系统 的 漏洞 利用 ” 。 


APT 组 织 开 发 移动 终端 木马 程序 用 于 APT 活动 。APT 组 织 中 同时 有 具备 移 
动 端 攻击 武器 的 包括 了 Group 123、 草 灵 花 、 肚 脑 虫 、 黄 金 鼠 、 拍 拍 能 等 等 ， 


其 通常 利用 社工 、 聊 天 应 用 、 钓 鱼 等 方式 诱导 目标 安装 伪装 的 手机 木马 程序 ， 


以 收集 目标 收集 上 的 信息 。 
国家 情报 机 构 背 景 的 移动 终端 监控 。 在 历史 泄露 的 某国 情报 机 构 资料 中 ， 


多 次 提 及 其 针对 移动 智能 终端 的 攻击 利用 工具 。 在 今年 1 月 ， 路 透 社 曝光 了 
一 个 名 为 Raven 的 项 目 ， 其 是 由 某国 情报 机 构 和 中 东 某 国政 府 共同 开发 和 构 
建 的 网 络 攻击 工具 ， 其 中 的 Karma 间谍 平台 用 于 攻击 iPhone 设备 ， 其 用 来 
监听 包括 激进 分 子 ， 政治 领导 人 和 奴 怖 分 子 嫌 疑犯 等 ”。 除 了 直接 攻击 智能 


终端 本 身 ， 还 有 通过 攻击 运营 商 ， 移动 蜂窝 网 和 信 令 系统 ， 以 及 移动 通信 协 
议 来 实现 数据 监听 、 定 位 的 能 力 。 例 如 今年 在 VB2019 会 议 上 披露 的 


Simjacker 漏洞 ， 


其 通过 攻击 SIM 卡 上 的 应 用 缺陷 实现 ， 并 已 经 被 用 于 攻击 


南美 地 区 国家 的 


详情 可 参见 奇 安信 威胁 情报 中 心 公众 号 发 布 的 《56G 降级 、 设备 位 置 跟踪 等 汤 


j 户 手机 , 我们 也 曾 对 该 漏洞 的 原理 和 危害 进行 了 分 析 说 明 ， 


洞 被 发 现 ， 或 可 


用 于 网 络 通信 和 军事 打击 》 ”。 
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第 三 草 ”针对 行业 性 的 高 级 威胁 活动 


APT 威胁 是 定向 性 的 ， 其 会 选择 攻击 的 行业 、 地 域 、 目 标 以 及 要 达到 的 
目的 , 这 些 是 由 APT 组 织 在 实施 行动 前 制定 的 需要 达到 的 阶段 性 目标 和 动机 
所 决定 的 。 从 过 去 的 APT 威胁 来 看 ，APT 组 织 在 一 段 时 间 内 会 保持 其 攻击 目 
标 行业 的 专注 程度 ， 这 可 能 也 与 攻击 组 织 在 针对 新 的 行业 实施 攻击 时 ， 需 要 
时 间 收 集 和 熟悉 目标 ， 并 弥补 自身 能 力 与 目标 行业 的 缺失 部 分 ， 以 及 构建 相 
应 的 攻击 武器 库 。 


我 们 在 2019 年 的 威胁 报告 中 首次 加 入 从 行业 视角 的 APT 威胁 分 析 和 研 
究 ， 并 且 重 点 关注 当年 内 针对 特定 行业 的 活跃 攻击 组 织 和 攻击 活动 情况 。 除 
了 政府 、 军 事 相 关 行 业 外 ， 人 金融、 能 源 和 电信 和 是 APT 威胁 的 主要 行业 目标 ， 
所 以 本 报告 对 这 3 个 行业 在 2019 年 的 APT 威胁 情况 进行 总 结 。 


金融 行业 


这 里 ， 我 们 将 金融 行业 包括 了 传统 的 银行 、 证 券 行 业 以 及 新 兴 的 数字 货 
币 交 易 所 ， 以 及 像 电 子 商务 ， 在 线 的 零售 商家 这 些 在 线 交 易 机 构 。 针 对 金融 
行业 的 攻击 主要 以 牟利 为 目的 ,除了 像 Emotet 这 样 极为 流行 的 银行 木马 外 ， 
也 活跃 着 不 少 组 织 化 的 网 络 犯罪 团伙 ,其 通常 拥有 自己 独立 的 攻击 TTP 和 定 
制 化 的 攻击 武器 集合 。 少 数 APT 组 织 同样 也 针对 金融 行业 目标 实施 攻击 ,我 
们 列举 了 2019 年 公开 披露 的 主要 活跃 的 针对 金融 行业 的 攻击 组 织 。 


H 


^ BlackTech 


"en, APTES 
^ FING | 最 时 活动 时 间 ，2010 年 
上 368 网 络 犯罪 组 红 


i 披露 时 间 : 20174 
2013 年 ;网络 间 谍 组 织 ， 其 主要 
"TT | 针对 台湾 、 日 本 、 香 潜 


} 该 组 织 主 要 窃取 和 售卖 
| 支付 卡 数据 ， 并 主要 针 
;对 酒店 和 零售 行业 的 
，PoS 系 统 。 ， 意 工具 也 称 为 PLEAD。 


Ó 


2013 2014 2015 2017 


| 实施 APT 活 动 ， 目 的 可 
| 能 是 窃取 目标 公司 的 技 
， 术 和 证 书 。 其 常用 的 亚 


| Lazarus Sroup : FIN7 : Buhtrap : MageCart ' | Silence | TA505 
i ` 类型， 网 络 犯罪 组 | 类 型 ， 网 络 犯罪 组 织 , 网 络 犯 罪 组 好 ! 类 型 ， 网 ! 类 型 ， 网 络 犯 
= E Lr 013 年 ! 最 早 MiB. 201456 i DE: | BUUSUNUM 早 活动 时 间 年 
j 间 : 201 ` 公开 披露 时 间 : 2014 年 。 : 公开 披露 时 间 : 2015 年 。， RRA: 2016 年 | AHRR, 2017 ! ARRANI: 201758 
' 被 指 源 自 东北 亚 某 国 | 使 用 Carbanak 恶 意 软 | 该 组 织 过 去 主要 针 } 一 个 专门 针对 电子 商务 ， 该 组 织 过 去 主要 针对 俄 ， 该 组 织 会 频繁 变更 其 
v 的 APT 组 织 。 ; 件 的 网 络 犯罪 团伙 , 有 ， 对 俄罗斯 和 乌克兰 /和 在 线 零售 的 网 络 犯罪 | 罗斯， 乌克兰 , ARS | 恶意 代码 程序 ， 并 实 
; 安全 厂商 也 将 其 划分 为 | 金 融 机 构 实 施 攻 “， 组 织 ， 其 主要 通过 向 目 ;斯 阿塞拜疆， 波兰 和 ， 施 全 球 大 规模 的 网 络 
; 两 个 不 同 子 组 织 FIN7 和 : di, ， 其 使 用 名 为 ， 标 网 站 植 入 Javascript ， 哈 萨克斯 坦 的 银行 系 ， 犯罪 恶意 程序 的 分 发 
; Carbanak 进 行 跟踪 。 ; BUHTRAP 的 RAT 工 ，skimmer 窃 取 用 户 信用 ` 统 ， 包 括 俄罗斯 中 央 银 | 活动 。 该 组 织 与 2014 
` 该 组 织 针对 俄罗斯 和 独 ; A ( 也 称 Pegasus 和 | HAS. 包括 RiskIQ 的 ` 行 的 自动 工作 站 客户 | 年 起 的 Dridex 活 动 ， 
， 联 体 国家 的 银行 和 支付 ，Carbanak ) ， 后 续 其 | 安全 厂商 也 基于 其 不 同 ， 端 ，ATM 机 和 卡 处理 系 ，2016 年 起 Locky 勒 索 
; 系统 的 攻击 ， 而 针对 欧 | 工具 代码 于 2016 年 ， 的 TTP 区 分 为 十 多 个 子 ， 统 。Group-|B 披 露 其 背 | 活动 以 及 大 规模 的 恶 
; 洲 ， 美 国 和 拉丁 美洲 则 ; 2 月 遭 到 泄 韦 并 且 于 v nm, v 景 可 能 和 俄语 黑客 有 关 。 | 意 邮 件 分 发 有 关 。 该 
; 主要 针对 零售 ， 餐 饮 和 | 2018 年 7 月 公开 。 | 组 织 在 过 去 主要 针对 
v 酒店 行业 。 : 其 曾 使 用 提 权 0day y 零售 和 银行 。 


Lazarus Group 最 早 被 发 现 针 对 
孟加拉 国 银行 SWIFT 系统 的 APT 攻击 
直 针 对 全 球 范 


组 织 就 一 


Y CVE-2019-1132。 


金融 银行 的 攻 


FÆ 2016 年 2 H, 其 针对 
十， 并 试图 窃取 9. 51 E, 
围 的 金融 银行 机 构 实施 攻击 活动 。 由 于 其 牟利 的 攻击 


之 p 
«Ln 


该 
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动机 和 过 去 实施 网 络 间谍 活动 和 情报 窃取 不 一 致 ， 所 以 一 些 安全 厂商 也 将 其 
攻击 金融 银行 机 构 的 活动 以 独立 的 子 组 织 命名 进行 跟踪 ， 例 如 卡巴 作为 
Bluenoroff，FireEye 作为 APT38。 


我 们 在 上 表 中 也 列举 了 多 个 2019 年 公开 披露 过 并 且 持 续 活跃 的 网 络 犯 
罪 团伙 。 我 们 总 结 了 网 络 犯 罪 团伙 在 2019 年 的 主要 攻击 活动 。 


Tm 


Tu Taa ana nz i 
[2019.01.19 (2019.01.24 (2019.01.24 | 2019.01.24 


201 9.02.27 


2019.03.19 


需 来 源 : Group-IB 披 需 来 源 ，Netskope 披露 来 源 : ReaQta 披 需 来 源 : 奇 安信 SEKR, Morphisec DI LS ME BA 
APT 组 织 : Silence APT 组 织 : FIN7 APT 组 织 : Silence APT 组 织 : TA505 APT 组 织 : FIN6 APT 组 织 : Buhtrap 
伪装 成 2 月 份 即将 举 利 用 Google GCP 2018 年 11 月 起 针 利用 Excel 4.0 宏 2019 年 起 针对 全 球 2018 年 底 到 2019 
行 的 iFin-2019 论坛 的 App Engine 服务 对 俄罗斯 和 白俄罗斯 针对 东欧 多 个 银行 的 PoS 系统 的 攻击 。 年 初 针对 俄罗斯 、 白 
的 邀请 针对 俄罗斯 金 分 发 恶意 程序 ， 并 针 银行 人 员 的 攻击 。 攻击 俄罗斯 的 攻击 活动 。 
融 部 门 的 攻击 。 对 42 个 金融 ， 银 行 


6 月 ,其 使 用 新 的 下 载 


1, 2019.07.03 


目标 。 


4 月 至 5 月 间 针对 英 


针对 韩国 的 攻击 活动 。 


3 —— ———— 


2018 年 12 月 检测 


利用 Ryuk 和 Lock- 


2019.07.02 | 2019.05.16 2019.05.02 | 2019.04.18 2019.04.05 | 2019.03.22 
披露 来 源 ，Proofpoint 披露 来 源 ， Yoroi XU. ESTsecurity 披露 来 源 : Cyberlnt 披露 来 源 : FireEye SR, 安 天 
APT 组 织 : TA505 APT 组 织 : TA505 APT 组 织 , TA505 APT 组 织 ; TA505 APT 组 织 :FIN6 APTA; TA505 


2019 ££ 2 A 13 H 


88 AndroMut 针对 阿 国 、 意大利 、 韩 国 、 中 到 的 针对 大 型 美国 零 erGoga 勒索 软件 针 至 3 月 7 日 期 间 针 对 
EES, 韩国 , 新 加 坡 和 国 、 德 国 、 匈 牙 利 的 攻 售 商 的 鱼 又 式 网 络 钓 对 工程 行业 的 攻击 日 本 和 韩国 金融 从 业 
美国 的 攻击 。 击 活动 。 鱼 活动 。 活动 。 者 的 钓鱼 活动 。 


2019.07.11 2019.08.27 | 2019.10.09 ` 2019.12.11 


HERF: Group-IB 披露 来 源 : ESET 披 需 来 源 : Trend Micro RKF: Trend Micro 披露 来 源 ，Cybereason 
APT 组 织 : Silence APT 组 织 : Buhtrap APT 组 织 : TA505 APT 组 织 : FING APT 组 织 : FING 
至 少 是 在 5 月 前 ， 针 该 组 织 首次 使 用 7 APA, EER. 该 组 织 使 用 Magecart 安全 厂商 观测 到 10 
对 荷兰 孟加拉 银行 的 Oday 漏洞 ， 其 攻击 iso 附件 和 .Net 加 的 skimmer 脚本 针 月 起 针对 金融 ， 制 造 
ATM 机 的 攻击 , 导致 活动 延伸 至 东欧 和 载 器 针对 土耳其 ， 塞 对 电子 商务 服务 商 和 零售 的 TrickBot 
300 万 美元 被 盗 。 中 亚 。 尔 维 亚 ,罗马尼亚 , 韩 Volusion 的 攻击 , 安 感染 并 后 续 发 展 为 针 
国 ,加 拿 大 ,捷克 共和 全 厂商 也 将 其 标识 为 对 金融 系统 的 攻击 活 
国 和 匈牙利 的 攻击 。 Magecart Group 6。 动 ， 其 使 用 了 新 的 恶 
意 程序 Anchor。 


组 织 化 的 网 络 犯 罪 团 伙 和 APT 组 织 类 似 , 其 会 定制 化 自 有 的 攻击 工具 集 ， 
并 且 拥 有 自己 的 TTP 模式。 其 通常 会 利用 BEC 攻击 ， 垃 圾 邮件 ， 钓 鱼 等 方式 
活动 初始 的 攻击 立足 , 其 也 会 结合 公开 或 开源 的 渗透 工具 ,包括 Meterpreter, 
Cobalt Strike 和 Empire 之 类 ， 并 用 于 横向 移动 阶段 。 我 们 列举 了 数 个 网 络 
犯罪 团伙 常用 的 攻击 工具 。 


如 FIN6 组 织 的 攻击 工具 集 : 


攻击 工具 名 称 主要 别名 功能 说 明 

FrameworkPOS Trinity FIN6 常 用 的 针对 PoS 系 统 的 后 门 
More_eggs Terra Loader，SpicyOmelette JScript 后 门 

Meterpreter = HIR 

Cobalt Strike beacon a 公开 工具 

TrickBot-Anchor - TrickBot 变 种 


FIN7 组 织 的 攻击 工具 集 ， 安 全 厂商 也 披露 FIN 组 织 和 新 的 僵尸 网 络 
AveMaria DIS EG em, 
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攻击 工具 名 称 主要 别名 功能 说 明 

CARBANAK = FIN7 常 用 木马 

SQLRat = 一 个 以 SQL Server 为 控制 基础 设施 的 RAT 
DNSbot = 支持 DNS，HTTPS 和 SSL 多 种 通信 方式 
TinyMet = 开源 的 meterpreter stager 

GRIFFON E 轻 量 级 JS 植 入 程序 

BOOSTWRITE E 新 的 加 载 器 

RDFSNIFFER c 新 的 RAT， 由 BOOSTWRITE 加 载 


TA505 网 络 犯 罪 组 织 会 频繁 新 增 和 变更 其 攻击 工具 集 ， 下 表 也 列举 了 其 
在 2019 年 活动 中 使 用 的 攻击 木马 程序 。 


攻击 工具 名 称 主要 别名 功能 说 明 
ServHelper = 后 门 程序 
FlawedGrace i RAT, BiServHelper FÈ 
FlawedAmmyy = 常用 的 远 控 木 马 
tRat B RATAJ 
LOLbins = 开源 工具 
AndroMut Gelup 下 载 器 
FlowerPippi - 后 门 

Get2 - 下 载 器 

Snatch = RAT， 由 Get2 下 载 
SDBbot - RAT， 由 Get2 下 载 


而 MageCart 组 织 似乎 与 上 述 组 织 有 所 不 同 ， 其 主要 以 攻击 目标 网 站 和 
Web 应 用 的 供应 链 并 在 失陷 的 网 站 和 Web 程序 中 植 入 Javascript 实现 的 
skimer 脚本 ， 从 而 窃取 受害 用 户 的 信用 卡 信息 。 该 组 织 的 活动 非常 频繁 ， 
并 针对 全 球 化 的 电子 商务 平台 ， 在 线 零售 等 等 。 


与 APT 组 织 不 同 的 是 ， 网 络 犯 罪 组 织 的 主要 目的 在 于 件 利 ， 其 更 换 其 攻 
击 工具 或 使 用 其 他 的 网 络 犯罪 程序 更 加 容易 ， 在 网 络 犯 罪 的 地 下 市 场 充 斥 着 
商业 工具 提供 者 或 制作 者 ， 服 务 提供 商 ， 运营 团伙 等 多 类 角色 ， 所 以 更 容易 
出 现 工 具 和 恶意 程序 的 重合。 并 且 由 于 角色 的 划分 ， 攻 击 活动 的 归属 和 背后 
实施 攻击 活动 的 运营 团伙 可 能 出 现 变 更 。 例 如 2018 年 8 月 1 日， 美国 DoJ 
宣布 逮捕 了 涉及 FIN7 相关 的 黑客 人 员 ， 但 FINT 的 活动 并 未 因此 而 停止 ， 其 
极 有 可 能 是 有 新 的 运营 人 员 接管 了 相关 的 攻击 工具 和 网 络 犯罪 平台 以 持续 


‘ym 


运营 中 > 


从 2019 年 主要 的 网 络 犯罪 组 织 和 APT. 组 织 针对 金融 行业 目标 的 攻击 活 
动 来 看 ， 金 融 银 行 机 构 的 PoS RA, ATM 终端 ，SWIFT 交易 系统 ， 以 及 与 电 
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子 商务 和 在 线 支 付 相 关 的 网 站 都 是 攻击 组 织 的 主要 攻击 对 象 ,并 且 通 过 非 授 
权 的 资金 交易 转账 ， 获 取 和 售卖 支付 卡 和 信用 卡 数据 ， 以 及 地 下 市 场 交 易 来 
进行 非法 牟利 。 


二 、 ”能源 行业 


能 源 行业 包括 了 如 石油 、 和 天然气、 电力、 核能、 矿业 等 等 领域 ， 无 论 是 
从 国家 经 济 层面 还 是 社会 民生 层面 都 和 能 源 行业 息息相关 。 随 着 能 源 行业 这 
些 传统 行业 的 组 织 和 机 构 如 今 也 向 着 信息 化 程度 的 建设 , 也 必然 带 来 了 其 可 
能 作为 网 络 攻击 和 网 络 利 用 的 重要 目标 之 一 。 


从 网 络 攻 击 的 动机 来 看 ， 能 源 行业 可 能 主要 面临 着 APT 威胁 ， 其 用 于 在 
必要 时 对 目标 进行 破坏 和 影响 ， 导 致 目标 产 线 异常 甚至 出 现 生产 错误 。 由 于 
能 源 行 业 部 分 也 涉及 了 敏感 的 信息 和 数据 ， 其 也 是 APT 威胁 中 的 重要 目标 。 


而 对 于 能 源 行业 来 说 ， 甚 至 是 扩展 到 工业 控制 领域 ,其 主要 可 以 划分 为 
IT 和 OT 两 个 部 分 ， 其 网 络 通常 与 互联 网 隔离 ， 重 要 的 工业 产 线 控制 甚至 是 
在 隔离 网 络 下 ， 并 可 能 由 专用 的 系统 和 软件 加 以 控制 ， 然 而 其 依然 会 存在 被 
攻击 的 风险 。 在 今年 ， 一 份 外 媒 报道 ”也 披露 了 当年 的 Stuxnet 事件 中 ， 由 
欧洲 某国 情报 人 员 招 募 的 一 名 工程 师 ,， 由 其 携带 了 带 有 病毒 的 USB 设备 并 插 
入 到 内 部 系统 ， 从 而 获得 了 访问 权 。 


对 能 源 行业 目标 的 攻击 和 破坏 对 于 国家 、 社 会 和 民生 安定 来 说 影响 是 巨 
大 的 ,例如 2015 年 马克 兰 的 两 次 停电 事件 , 2019 年 南美 地 区 包括 委内瑞拉 、 
阿根廷 和 乌拉 圭 地 区 的 停电 事件 都 对 当地 人 名 的 生活 造成 了 巨大 的 影响 。 虽 
然 今年 上 半年 南美 地 区 的 大 规模 停电 事件 并 没有 明确 的 证 据 显示 和 网 络 攻 
击 有 确 溺 的 联系 , 但 结合 当年 马克 兰 的 停电 事件 我 们 依然 可 以 评估 网 络 攻击 
针对 电力 系统 的 攻击 破坏 所 造成 的 影响 会 是 巨大 的 。 


我 们 在 这 里 也 列举 出 2019 年 公开 披露 的 针对 能 源 行业 的 APT 攻击 活动 
和 主要 的 APT 组 织 。 


— 9. —— US 


2019.07.18 | 2019.08.27 } 2019.09.04 2019.12.04 
PT34 p EXANE PT APT 
伪装 成 剑桥 大 学 研究 人 员 寻 求 2019 年 5 月 ， 针 对 中 东 石油 有 研究 人 员 在 社交 网 络 上 披露 研究 团队 披露 OilRig 使 用 的 新 
简历 和 工作 机 会 的 攻击 诱饵 针 和 天 然 气 组 织 的 攻击 。 印度 Kudankulam 核电 厂 遭 的 Wiper 工具 ZeroCleare, 
对 能 源 、 石 油 和 天 然 气 领域 目 到 网 络 攻 击 。 并 且 和 Shamoon 存在 联系 。 
标 实施 攻击 ， 并 且 利 用 了 名 为 
TONEDEAF 的 恶意 软件 。 


从 公开 披露 的 APT 威胁 报告 来 看 ， 中东 是 针对 能 源 攻击 活动 的 重点 活跃 
地 域 之 一 , 这 也 与 中 东 地 区 复杂 的 地 缘 政 治 因素 和 已 有 的 丰富 能 源 产业 有 关 。 
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IS OilRig 组 织 ， 后 续 国外 安全 厂商 常 和 APT34 进行 合并 跟踪 ， 能 源 行 
业 是 其 主要 的 目标 之 一 ,如 知名 的 Shamoon 恶意 程序 就 被 公开 认为 和 起 相关 ， 
并 曾经 用 于 攻击 和 破坏 沙特 阿拉 伯 的 石油 公司 造成 了 其 服务 停止 。 


HEXANE, XEK LYCEUM， 其 是 由 国外 安全 公司 Dragos 披露 的 主要 针对 工 
业 控 制 领域 攻击 的 团伙 ，"，， 其 最 早 可 能 从 2018 年 4 月 开始 活动 。 其 攻击 手 
法 被 认为 和 APT33、APT34 存在 相似 ， 但 并 未 出 现 明 确 的 线索 重 关 “|。 


另 一 个 值得 关注 的 是 ， 疑 似 Lazarus Group 在 9 月 -10 月 期 间 被 发 现 针 
对 印度 Kudankulam 核电 厂 的 网 络 攻击 , 虽然 主要 攻击 的 是 核电 三 的 IT 网 络 ， 
并 未 进入 到 OT 网 络 中 。 该 事件 中 似乎 使 用 了 一 个 Dtrack 样本 ， 其 用 于 横向 
移动 阶段 ， 并 且 硬 编码 了 疑似 核电 三 相关 的 登录 名 称 。 


i ER Ke 
d Da tweeter user 


virustotal.com/gui/file/bfb39... 
Interesting potential DTRACK (CC ($Mao Ware ) 


Dumps the data mined output via manually mapped share 
over SMB to RFC1918 address with a statically encoded 
user/pass: 


> net use 0.38.1.354C$ su.controller5kk 
[user:XKNPPWadministrator 


翻译 推 文 
下 午 9:37 - 2019 年 10 月 28 日 - Twitter Web App 
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三 、 电信 行业 


电信 行业 是 另 一 个 APT 威胁 中 的 重要 目标 行业 之 一 ， 由 于 电信 行业 承担 
着 互联 网 骨干 网 络 和 核心 基础 设施 的 运营 ， 以 及 包括 电信 和 网、 蜂窝 网 、 移 动 
通信 和 有 线 电视 等 。 


针对 电信 行业 目标 实施 APT 攻击 往往 能 够 建立 在 更 高 维度 的 基础 设施 控 
制 能 力 下 实现 包括 劫持 、 监 听 、 自 改 等 目的 。 


我 们 总 结 了 2019 年 公开 披露 的 针对 电信 行业 的 攻击 活动 和 活路 组织 如 


T: 


—e 
|201 9.01.09 2019.01.29 | 2019.03.06 


D: : FireEye RRA: FireEye E 


2019.03.21 


APTE - APT 组 织 : APT39 ( 又 称 Chafe' APT Whitefly APT 组 织 : M ater 
一 个 从 2017 年 1 月 到 一 个 主要 活跃 在 中 东 地 区 该 组 织 即 是 2018 年 7 月 针 疑似 MuddyWater 组 
2019 年 1 月 针对 中 东 、 并 针对 包括 电信 行业 的 对 新 加 坡 SingHealth 攻击 织 针对 伊拉克 移动 运营 
北非 、 欧 洲 和 北美 的 大 APT 组 织 。 其 被 认为 和 中 归属 的 命名 ， 其 目标 也 包括 商 Korek Telecom 的 
规模 DNS 劫持 活动 , 并 东 某 国有 关 。 了 新 加 坡 ， 东 南亚 和 俄罗斯 攻击 。 

影响 了 数 十 个 属于 政 的 电信 和 目标。 其 通常 使 用 命 

府 、 电 信和 互联 网 基础 名 为 Vcrodat 的 加 载 器 和 

设施 的 域 。 Nibatad 木马 。 


2019.12.12 | 2019.09.24 2019.08.27 2019.06.25 

IRSE: M 披露 来 源 ，Telsy SecureWorks E ybereason 

APT 组 织 : GAL M APT: DEADLYKISS AP H. HEXANE : OPERATION SOFT CELL 
一 个 针对 全 球 电信 行业 公开 披露 的 一 个 针对 电 该 组 织 被 公开 披露 在 针 国外 安全 厂商 在 2018 

的 攻击 组 织 ， 其 活跃 于 信行 业 的 攻击 样本 ， 其 历 对 能 源 行业 的 同时 ， 可 能 年 发 现 的 针对 电信 运营 
2018-2019 年 , 利 用 史 攻 击 目 标 涉 及 东南 亚 、 也 攻击 电信 行业 。 商 的 攻击 , 其 最 早 活动 可 


WildFly、JBoss 漏洞 达 


南亚 、 俄 罗斯 和 美国 ， 也 


能 于 2012 年 起 , 攻击 目 


成 攻击 立足 ， 使 用 公开 的 有 安全 人 员 披 露 其 与 的 是 获取 电信 运营 商 的 
恶意 软件 或 经 过 少量 修 Platinum 使 用 的 攻击 工 通话 详细 记录 ( CDR )。 
改 。 其 控制 基础 设施 主要 具 相 似 。 

使 用 动态 域名 。 
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第 四 章 2020 年 高 级 持续 性 威胁 预测 


我 们 基于 2019 年 APT 威胁 的 趋势 以 及 近年 来 APT 威胁 组 织 和 活动 的 变 
化 情况 对 2020 年 高 级 持续 性 威胁 进行 预测 。 


—. APT 威胁 归 因 困难 导致 攻击 归属 命名 更 加 碎片 化 


奇 安信 威胁 情报 中 心 一 直 在 收集 、 分 析 和 研判 全 球 范 围 APT 类 威胁 的 归 
属 命名 和 公开 披露 情报 ， 但 我 们 发 现 APT 威胁 的 归 因 问题 变 得 更 加 复杂 和 困 
难 。 


APT 攻击 组 织 在 实施 攻击 活动 的 操作 安全 上 变 得 更 加 谨慎 ， 并 且 利 用 多 
种 方式 避免 其 行为 特征 被 发 现 和 关联 , 在 过 去 我 们 看 到 了 攻击 组 织 使 用 如 下 
的 方法 : 


e 频繁 更 换 攻 击 程序 的 形态 ， 避 免 代 码 重用 ; 
e ”利用 和 定制 化 公开 的 或 开源 的 攻击 工具 , 利用 脚本 语言 和 商业 工具 ; 
e ”利用 无 文件 攻击 技术 尽量 避免 攻击 载荷 的 留存 ; 

e 利用 本 地 命令 ， 也 称 为 live off the land 攻击 ; 

e 故意 留 下 假 旗 标 志 误 导 安全 分 析 人 员 ; 

e 动 持 其 他 攻击 组 织 的 控制 基础 设施 。 


归 因 的 问题 最 终 导致 了 归属 命名 的 碎片 化 ,从 而 依赖 于 更 丰富 维度 的 元 
数据 和 线索 证 据 来 佐证 最 终 的 归 因 判 定 。 


另外 ， 一 些 高 价值 目标 可 能 会 同时 作为 不 同 APT 组 织 的 攻击 目标 ， 造 成 
攻击 活动 重合 的 冲突 ， 也 可 能 给 归属 分 析 判 定 带 来 影响 。 


二 、 出 现 更 多 的 在 野 0day 攻击 案例 


在 2018 年 的 全 球 高 级 持续 性 威胁 报告 中 , 我 们 总 结 了 在 2018 年 公开 撤 
露 的 在 野 攻击 活动 中 利用 的 0day 漏洞 总 共有 14 个 ， 涉 及 明确 的 攻击 组 织 6 
No Æ 2019 年 的 报告 中 ， 我 们 总 结 了 2019 年 内 公开 披露 的 在 野 攻 击 活动 中 
利用 的 Oday 漏洞 总 共有 17 个 , 涉及 明确 的 攻击 组 织 至 少 7 个 , 相对 于 2018 
年 来 说 略 有 增长 。 然 而 2019 年 的 0day 攻击 案例 中 ， 似 乎 并 未 出 现 新 的 文档 
型 漏洞 的 利用 ， 并 且 随 着 Adobe Flash 生命 的 完结 ， 未 来 利用 Flash 的 漏洞 
可 能 会 越 来 越 少 。 


在 2019 年 中 ， 针 对 浏览 器 的 完整 利用 链 在 被 曝光 的 在 野 攻击 活动 中 出 
现 的 越 来 越 多 ， 不 光 是 针对 PCC， 还 有 针对 Android、i0S 移动 设备 ， 其 漏洞 
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利用 往往 需要 更 少 的 用 户 交 互 即 可 完成 。 从 趋势 上 来 看 ， 我 们 也 认为 未 来 会 
出 现 更 多 的 在 野 0day 攻击 案例 。 


三 、 针对 行业 性 的 APT 威胁 越发 凸现 


我 们 预测 在 未 来 针对 行业 性 的 APT. 威胁 活动 会 越 来 越 多 ， 也 就 是 说 APT 
威胁 活动 不 光 局 限于 政府 、 国 防 、 军 工 、 外 交 等 领域 的 目标 ， 金 融 、 能 源 和 
电信 也 可 能 作为 未 来 APT 威胁 中 的 重点 攻击 目标 。 


从 今年 的 威胁 活动 来 看 ， 网 络 犯罪 团伙 正 向 着 高 度 组 织 化 ， 高 度 武器 化 
和 高 度 战术 化 的 趋势 发 展 ， 其 大 多 拥有 一 套 自 定义 的 攻击 工具 集 和 战术 技术 
过 程 。 以 牟利 为 动机 的 针对 金融 银行 行业 的 攻击 活动 ， 不 光 是 针对 受害 用 户 
自身 的 在 线 资 金 的 攻击 (包括 银行 卡 信息 盗 穷 ) ， 还 会 针对 金融 机 构 本 身 的 
系统 、 终 端 ” 网络 实施 攻击 活动 ， 并 尝试 获得 更 大 的 战果 。 


从 APT 攻 击 的 动机 来 看 ,金融 、 能 源 和 电信 是 高 度 符合 攻击 组 织 需 要 的 ， 
通过 攻击 金融 银行 机 构 实 现 所 需 资 金 的 补充 ,攻击 能 源 行业 会 对 目标 国家 发 
展 和 社会 安定 的 破坏 ， 甚 至 获取 重要 的 情报 ， 例 如 针对 核能 领域 的 攻击 ， 以 
及 攻击 电信 通信 行业 能 够 获取 到 骨干 网 或 核心 网 络 基础 设施 的 控制 权 。 


由 于 APT 威胁 可 能 针对 特定 行业 实施 ,攻击 组 织 在 筹备 攻击 活动 以 前 会 
更 多 的 尝试 对 目标 行业 情况 进行 情报 收集 ， 并 积极 弥补 和 目标 的 技术 差距 ， 
并 针对 性 构建 攻击 工具 集 。 因 此 ， 攻 击 组 织 需 要 准备 更 加 针对 性 的 攻击 能 力 
和 攻击 战 技术 。 


四 、 — 5G 商业 化 和 物 联网 或 为 APT. 威胁 提供 新 的 控制 基 


础 设施 


今年 ，56 正在 向 商业 化 的 趋势 发 展 ，5G 网 络 提供 的 高 质量 和 高 速率 的 
网 络 通信 和 能力 必 将 为 物 联网 带 来 进一步 的 发 展 空间 。 物 联网 设备 ， 家 用 智能 
设备 ， 路 由 器 ， 甚 至 智能 手机 等 在 未 来 都 可 能 以 某 种 形式 连接 在 一 起 ， 然 而 
其 中 的 终端 设备 安全 良 著 不 齐 必然 导致 存在 诸多 的 安全 风险 。 


从 过 去 的 VPNFilter 事件 ， 名 为 Inception Framework APT 组 织 利 用 路 
由 器 UPnP 功能 最 为 代理 隐藏 自身 ， 可 以 看 出 基于 物 联网 设备 的 攻击 活动 不 
再 是 网 络 黑客 的 专属 ， 其 同样 会 被 应 用 到 APT 威胁 攻击 中 。 并 且 从 2016 年 
Mirai 造成 美国 东海 岸 断 网 事件 来 看 ， 其 同样 可 以 用 于 网 络 攻 击破 坏 中 ， 以 
瘫痪 目标 网 络 和 基础 设施 服务 。 


五 、 更 加 频繁 和 隐 浅 的 网 络 攻 击破 坏 活 动 
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2019 年 从 公开 报道 和 披露 , 有 不 少 疑 似 与 网 络 攻击 或 者 疑似 网 络 攻 击 造 


成 的 破坏 活动 ， 其 主要 和 电力 系统 ， 政 府 机 构 ， 核 电厂 ， 炼 
攻击 所 造成 的 破坏 活动 能 够 瘫痪 目 标 系统 或 者 造成 目标 运转 的 异常 最终 导 


致 国家 发 展 、 


OPE E14 


威胁 情报 中 心 


三 相关 。 网 络 


社会 民生 造成 不 安定 的 影响 。 


网 络 攻击 破坏 活动 相对 于 军事 行动 来 说 ,更 加 具有 隐蔽 性 和 溯源 难 的 特 
点 ， 从 而 攻击 源头 可 以 进行 否认 。 由 此 可 以 预见 未 来 网 络 莉 


更 加 频繁 。 


fF 破坏 活动 可 能 
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第 五 章 ”针对 高 级 持续 性 威胁 的 分 析 和 对 抗 


在 本 年 度 全 球 高 级 持续 性 威胁 报告 的 最 后 , 我 们 结合 APT 类 威胁 的 趋势 


以 及 奇 安信 威胁 情报 中 心 过 去 在 APT 威胁 分 析 研 究 的 经 验 ， 在 这 
出 在 APT 威胁 分 析 和 对 抗 中 的 几 个 观点 ， 以 供 业 界 参 考 和 讨论 。 


一 、 元 数据 是 应 对 高 级 威胁 的 数据 基础 


从 美国 DoJ 在 2018 年 9 月 公开 对 朝鲜 一 名 黑客 成 员 和 L 


里 我 们 也 提 


azarus APT 


组 织 的 长 达 179 页 的 指控 书 中 ”， 其 详细 阐述 了 调查 人 员 如 何 将 历史 的 APT 
攻击 事件 和 Lazarus APT 组 织 以 及 朝鲜 黑客 成 员 通过 电子 证 据 联系 到 一 起 ， 


其 中 涉及 的 数据 维度 包括 : 
e 针对 攻击 事件 和 被 攻击 目标 的 事件 响应 和 取证 证 据 ; 
e 邮件、 社交 网 络 数据 、 在 线 互联 网 应 用 和 服务 数据 ; 
e 第 三 方 安全 三 商 提供 的 威胁 数据 和 分 析 结 
e 公开 来 源 威胁 情报 ; 


DH 


FH 
小; 


e 网络 基础 设施 的 历史 信息 , 域名 注册 , 动态 域名 注册 , DNS 记录 等 ; 


e 搜索 历史 ， 包 括 搜索 引擎 ， 社 交 网 络 应 用 搜索 记录 等 ; 
e ”终端 设备 指纹 和 设备 访问 互联 网 实体 的 记录 ; 

e IP 维度 的 访问 互联 网 实体 记录 ; 

e 黑客 论坛 ,黑客 技术 交流 社区 等 相关 数据 ; 

e 安全 厂商 或 团队 的 协助 。 

在 179 页 的 指控 书 中 举证 的 不 同 维度 元 数据 之 间 的 关联 性 订 


FE 据 多 达 856 


条 。 
833/328 tty198410Ggmail.com register mrkimjin123Ggmail.com 
834 328 tty198410@gmail.com access by same device mrkimjinl23Ggmail.com 
835 328 tty198410@gmail.com access by same Proxy Service IP mrkimjin123Ggmail.com 
836/328 MrDavid0818@gmail.com access by same device mrkimjin123@gmail.com 
837/328 Singapore VPN IP access mrkimjin123Ggmail.com 
838 328 Singapore VPN IP access mrdavid0818&gmail.com 
839/328 Singapore VPN IP access tty198410G gmail.com 
840/329 mrkimjin123Ggmail.com access by same Proxy Service IP surigaemindGhotmail.com 
841 330.2 North Korean IP Address #4 access ttykim1018Ggmail.com 
842 330.a North Korean IP Address #8 access ttykim1018&gmail.com. 
843 330.b North Korean IP Address #4 access business2008it&gmail.com 
844 330.b North Korean IP Address #8 access business2008it& gmail.com 
845 330.b North Korean IP Address #7 access business2008it& gmail.com 
846 330.c North Korean IP Address #3 access surigaemind&hotmail.com 
847 330.c North Korean IP Address #4 access surigaemind&hotmail.com 
848 330.c North Korean IP Address #7 access surigaemind&hotmail.com 
849 390, d North Korean IP Address #4 access pkj0615710Ghotmail.com 
K North Korean IP Address #7 access pkj0615710Ghotmail.com 
North Korean IP Address #8 access pkj0615710G&hotmail.com 
tty198410Ggmail.com contacts email addresses ttykim1018G gmail.com 
tty198410Ggmail.com contacts email addresses ttykim1018& gmail.com 
ttykim1018Ggmail.com use getnotify.com 
surigaemindGhotmail.com contacts email addresses ttykim1018Ggmail.com 
pkj0615710Ghotmail.com contacts email addresses Hyon u&hotmail.com 
mrkimjinl23Ggmail.com access by same device tty198410Ggmail.com 


20141113 
20141214 


20120930 


20141113 
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在 如 今 APT 威胁 的 归 因 分 析 越 来 越 


Dm, ere (03425 


困难 的 趋势 下 ,构建 更 广 维度 的 元 数 


据 集合 以 及 元 数据 间 直 接 或 间接 的 关系 图 将 会 作为 APT 威胁 关联 和 归属 判断 


的 重要 依据 。 


二 、 ”构建 高 级 威胁 组 织 知识 库 


奇 安信 威胁 情报 中 


知识 库 ， 由 于 APT 类 威胁 归属 命名 


威胁 追踪 时 往往 不 能 明 


心 一 直 致 力 于 构建 全 球 范 


的 碎片 化 造成 的 “混乱 ”现象 ,导致 在 APT 


确 两 个 命名 归属 的 威胁 活动 是 否 关 联 或 者 是 否 需要 
合并 导致 给 最 终 的 归 因 分 析 造 成 困扰 。 


收集 、 分 析 和 运营 APT 类 威胁 情报 ， 构 建 围绕 攻击 组 织 或 活动 、 情 报 来 


源 、 攻 击 武器 或 工具 以 及 网 络 威胁 情报 指标 四 个 维度 的 知识 库 能 够 帮助 我 们 


趋势 。 


在 APT 威胁 分 析 中 研究 攻击 源头 及 其 演变 ， 以 及 和 


FE APT 威胁 的 现状 和 发 展 


奇 安 信 威 胁 情报 中 心 在 今年 也 对 外 披露 了 一 批 我 们 收录 的 攻击 组 织 和 


活动 , 及 其 归属 的 攻击 了 


[ 具 集 的 Hash ^, 旨 在 向 业内 和 研究 APT 威胁 的 机 构 


和 研究 团队 贡献 出 一 份 知识 库 。 详 情 可 参见 奇 安信 威胁 情报 中 心 发 布 APT 数 
字 武 器 陈列 项 目 : https://github. com/RedDrip7/APT Digital Weapon 


三 、 高 级 威胁 对 抗 需要 人 机 结合 


APT 攻击 组 织 正 变 得 更 加 聪明 和 狭 独 ， 


攻防 双方 背后 人 的 角力 ， 


题 似 乎 是 不 可 能 的 。 高 级 威胁 对 抗 需要 人 机 协同 ， 
异常 和 可 锋 的 行为 并 推荐 给 有 经 验 的 威胁 分 析 师 ， 并 且 从 已 知 的 元 数据 集中 
安 掘 相关 的 碎片 ， 由 分 析 师 最 终 将 碎片 化 的 证 据 形成 证 据 链 从 而 还 原 真 实 的 
攻击 场景 ， 并 且 最 终 完 成 知识 库 的 更 新 。 


因此 对 于 APT 攻防 来 说 ， 最 终 是 
思路 的 角力 ， 寄 希望 于 机 器 完全 解决 APT 防御 的 问 


机 器 解决 海量 数据 中 筛选 
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附录 1 — 奇 安 信 威 胁 情 报 中 心 简 介 


奇 安 信 威 胁 情 报 中 心 是 奇 安信 集团 旗下 的 威胁 情报 专业 机 构 。 该 中 心 
以 业界 领先 的 安全 大 数据 资源 为 基础 ， 基 于 长 期 积累 的 核心 安全 技术 ， 依 
托 亚 太 地 区 顶级 的 安全 人 才 团 队 ， 结 合 强大 的 数据 分 析 能 力 ， 实 现 全 网 威 
胁 情报 的 实时 、 深 入 、 全 面 综合 分 析 ， 为 企业 和 机 构 提 供 网 络 空间 威胁 防 
护 的 情报 预警 及 分 析 能 力 。 

奇 安信 ALPHA 威胁 分 析 平 台 (https://ti. qianxin. com) ， 是 奇 安信 


集团 面向 安全 分 析 师 和 应 急 响 应 团队 提供 的 一 站 式 云 端 服 务 平台 ， 该 平台 
拥有 海量 互联 网 基础 数据 和 威胁 研判 分 析 结 果 ， 为 安全 分 析 人 员 及 各 类 企 


pa 


引用 户 提 供 基础 数据 的 查询 、 攻 击 线索 拓展 、 事 件 背 景 研判 、 攻 击 组 织 解 
fT、 研究 报告 下 载 等 多 种 维度 的 威胁 情报 数据 与 威胁 情报 服务 ， 提 供 全 方 
位 的 威胁 情报 能 


ALPHA 


微 信 公 众 号 ; 


奇 安信 威胁 情报 中 心 : 奇 安信 病毒 响应 中 心 : 
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附录 2 


成 立 于 2015 年 
专注 于 APT rd 
C-00, OceanLotus?) 


报 中 心 的 了 
目前 ， 红 雨滴 


团队 拥 


Zn 


p" 


"eozzis | 《| 


O 


APT 攻击 团 


团队 。 


国 


发 人 员 ， 履 善 威胁 情报 运营 的 各 个 环节 : 
意 代 码 分 析 、 网 络 流量 解析 、 线 索 发 现 控 和 
D HL GC ek Di 


分 析 的 全 流程 运营 。 


团队 对 外 输 晶 


方 的 检测 类 安全 产品 ， 实 现 高 效 
时 也 为 公众 和 监管 方 输出 事件 和 


依托 全 球 领 9 


开创 了 国内 APT OC 
防 的 焦点 。 


红 雨 滴 团队 LOGO: 


师 的 丰富 经 验 ， 红 雨滴 
团伙 在 中 国境 内 的 长 期 活动 ,并 发 布 国内 首 
类 高 级 威胁 体系 化 揭露 的 先河 ， 已 经 成 为 国家 级 网 络 ] 


dë 


团队 自 2015 4 


炎 分 析 师 和 相应 的 数据 运营 和 


ODE 


威胁 情报 中 心 


Zm AAR (Red Drip Team) 简介 


奇 安信 旗下 的 高 级 威胁 和 
(前 身 为 天 眼 实验 室 
fF 类 高 级 威胁 的 研究 , 是 
伙 的 安全 研究 团 
FE 力 威胁 分 析 技 术 支 持 


TC ALS He 


A 
H 


公开 情报 收集 、 


Kin, (DR, Ce 


自 有 数据 处 理 、 


团队 红 雨 滴 (RedDrip Team, GRedDrip?) , 
， 持 续 运 营 奇 安 信 威 胁 情报 中 心 至 今 ， 
内 首 个 发 布 并 命名 “ 海 莲 花 ”(APT- 
队 ， 也 是 当前 奇 安信 威胁 情 


情报 数据 支持 奇 安信 自 有 和 第 三 
的 威胁 发 现 、 损 失 评估 及 处 置 建 议 提供 ， 同 
团伙 层面 的 全 面 高 级 威胁 分 析 报 告 。 


的 安全 大 数据 能 力 、 多 维度 多 来 源 的 安全 数据 和 专业 分 析 


第 


FE 持续 发 现 多 个 包括 海 莲 花 在 内 的 APT 


个 


LJ 
(xX 
o 


HI B Ff APT 事 伯 


“ 红 雨 滴 ” 背 后 的 故事 一 一 “从 100 亿 个 雨滴 中 找 一 个 红 雨 滴 ” 


2006 年 11 月 20 
家 丁 秘 中 教授 来 到 中 国 驻 瑞 = 
容 自 己 发 现 构成 物质 的 第 四 征 


F 大 使 馆 ， 


日 ， 因 发 现 本 粒子 而 获得 诺 贝 尔 奖 的 著名 华裔 物理 
的 讲座 。 丁 後 中 教授 


做 了 一 场 精 彩 


1 
H 


于 在 北京 下 雨 时 ， 每 秒 钟 有 100 亿 个 月 


它 来 。” 


就 要 从 这 100 1404 


T 


EFR H 


和 | 奇 安信 威胁 情报 中 心 高 级 威胁 分 析 
找寻 那些 红色 威胁 。 最 终 ， 我 们 选择 了 “ 红 雨 滴 ” 


ji. Jun TH 


EE 


滴 是 红色 的 ， 我 


E 


揭露 报告 


, 


D 


P 
学 


NS 


站 


团队 同样 需要 在 海量 数据 中 精准 
团队 的 名 称 。 
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